el rol de la auditorÍa interna en la administraciÓn de
TRANSCRIPT
EL ROL DE LA AUDITORÍA INTERNA EN LA ADMINISTRACIÓN DE RIESGOS
DE UNA EMPRESA DE SERVICIOS EN COLOMBIA.
FABIAN DAVID BARRAZA APARICIO
UNIVERSIDAD DE CARTAGENAFACULTAD DE CIENCIAS ECONOMICASPROGRAMA DE CONTADURÍA PÚBLICA
CARTAGENA D.T.C.2011
1
EL ROL DE LA AUDITORÍA INTERNA EN LA ADMINISTRACIÓN DE RIESGOS
DE UNA EMPRESA DE SERVICIOS EN COLOMBIA.
Trabajo de grado presentado como requisito parcial para optar el grado de
Contador Público.
FABIAN DAVID BARRAZA APARICIO
Carlos Cantillo Puello
Asesor
UNIVERSIDAD DE CARTAGENAFACULTAD DE CIENCIAS ECONOMICASPROGRAMA DE CONTADURÍA PÚBLICA
CARTAGENA D.T.C.2011
2
Nota de aceptación
____________________________________
____________________________________
____________________________________
____________________________________
Firma del Presidente del Jurado
__________________________________
Jurado
_________________________________
Jurado
_________________________________
Cartagena de Indias, Junio de 2011
3
Cartagena de Indias D.T.C., Junio de 2011
Señores:Comité EvaluadorLa Ciudad
Respetados Señores:
Tengo el agrado de presentar a su consideración el trabajo de grado del cual me desempeño como asesor del trabajo de grado titulado “EL ROL DE LA AUDITORÍA INTERNA EN LA ADMINISTRACIÓN DE RIESGOS DE UNA EMPRESA DE SERVICIOS EN COLOMBIA” desarrollada por el estudiante FABIAN DAVID BARRAZA APARICIO, como requisito para obtener el título de Contador Público
Atentamente,
Carlos Cantillo PuelloAsesor
4
Cartagena de Indias D.T.C., Junio de 2011
Señores:Comité EvaluadorLa Ciudad
Respetados Señores:
Con mucha atención me dirigió a ustedes para presentar la monografía titulada: “EL ROL DE LA AUDITORÍA INTERNA EN LA ADMINISTRACIÓN DE RIESGOS DE UNA EMPRESA DE SERVICIOS EN COLOMBIA” para su estudio y evaluación como requisito fundamental para obtener el título de CONTADOR PÚBLICO
En espera que esta cumpla con las normas pertinentes establecidas por la institución.
Atentamente,
______________________________________FABIAN DAVID BARRAZA APARICIOC.C. 1.047.392.022 de Cartagena
5
TABLA DE CONTENIDO
Págs.
RESUMEN 8
ABSTRACT 10
INTRODUCCIÓN 12
1. PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA 141.1 DESCRIPCIÓN DEL PROBLEMA 141.1.1 El Riesgo, una constante 161.2 FORMULACIÓN DEL PROBLEMA 171.3 DELIMITACIÓN DEL PROBLEMA 181.3.1 Espacio 181.3.2 Tiempo 181.4 OBJETIVOS 181.4.1 Objetivo General 181.4.2 Objetivo Específicos 181.5 JUSTIFICACIÓN 191.6 METODOLOGÍA 201.6.1 Tipo de investigación 201.6.2 Muestra 201.6.3 Instrumentos de recolección e información 211.6.4 Variables 21
2. MARCO DE REFERENCIA 222.1 ANTECEDENTES 222.2 MARCO TEÓRICO 232.2.1 Control interno 232.2.2 Componente del Control Interno 262.2.3 Rol de Auditoría interna 402.3 MARCO LEGAL 412.3.1 Principios básicos que rigen una auditoría 422.4 MARCO CONCEPTUAL 43
3. AUDITORÍA INTERNA INTEGRAL 453.1 DEFINICIÓN Y OBJETIVO 453.2 ALCANCE Y RESPONSABILIDADES 463.3 NORMAS DE AUDITORÍA GENERALMENTE ACEPTADAS 47
6
3.4 TIPOS DE AUDITORÍA 503.4.1 Auditoría Administrativa 503.4.2 Auditoría de gestión 533.4.3 Auditoría de cumplimiento 543.4.4 Auditoría Operacional 553.4.5 Auditoría Financiera 573.4.6 Auditoría de Control Interno 603.5 EL CICLO DE LA AUDITORÍA 623.5.1 Planeación global 623.5.2 Planeación detallada 633.5.3 Diseño del programa de Auditoría 643.5.4 Ejecución del programa 663.5.5 Finalización 683.5.6 Seguimiento a las recomendaciones 703.6 ENFOQUE INTEGRAL DE LA AUDITORÍA INTERNA 70
4. GERENCIA DE RIESGOS 724.1 OBJETIVOS DE LA GERENCIA DE RIESGOS 724.2 DEFINICIÓN DE LA GERENCIA DE RIESGOS 734.3 ANTECEDENTES Y CONOCIMIENTOS DEL NEGOCIO 744.4 EL RIESGO EN LA EMPRESA 754.4.1 Los conceptos de riesgo y siniestro 754.4.2 Riesgo especulativo y riesgo puro 764.5 LA MEDIDA DEL RIESGO 774.6 ETAPAS DE LA GERENCIA DE RIESGOS 784.6.1 Identificación y evaluación de riesgos 784.6.2 Análisis de las técnicas de control de riesgos 804.6.3 Selección de la aparente mejor opción 834.6.4 Aplicación de la opción seleccionada 844.6.5 Análisis de los resultados y actuaciones consecuentes 844.7 IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS 844.7.1 Grupo de sujetos 844.7.2 Fuentes de riesgos 864.7.3 Métodos de identificación de riesgos y sujetos 894.7.4 El inventario de riesgos 94
5. LA AUDITORÍA INTERNA Y LA ADMINISTRACION DE RIESGOS EN UNA EMPRESA DE SERVICIOS 96
CONCLUSIONES 99
BIBLIOGRAFÍA 101
7
RESUMEN
Control interno. El control interno se define ampliamente como un proceso
realizado por el consejo de directores, administradores y otro personal de una
entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento
de:
• Efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
Auditoria Interna Integral. El enfoque integral hace inferir que la Auditoria Interna
es una sola función con diferentes enfoques de intervención y alcance (Auditoria
administrativa, operacional, financiera, de cumplimiento, de gestión y de control
interno); se trata de organizar metódica y sistemáticamente cada uno de los tipos
de auditoria dentro de un programa general. Con esto, se gana en eficiencia y
efectividad en el desarrollo de los programas de trabajo del Auditor.
Gerencia de riesgos. La gerencia de riesgos es el proceso de planificar, organizar,
dirigir y controlar los recursos y actividades de la empresa para minimizar los
efectos adversos de los sucesos accidentales que afectan la misma al menor
costo posible.
Etapas de la gerencia de riesgos.
• Antecedentes y conocimiento de la empresa
• Identificación y evaluación de riesgos
8
• Análisis de las técnicas de control de riesgos
• Selección de la aparente mejor opción
• Aplicación de la opción seleccionada
• Análisis de los resultados y actuaciones consecuentes
Auditoria Interna y administración de riesgos. La Auditoria Interna puede participar
activamente en la construcción de los sistemas de administración de riesgos,
teniendo voz pero no voto, esto es, aportando sus conocimientos integrales,
sagacidad y preparación profesional para asegurar que el sistema construido sea
lo suficientemente eficaz
9
ABSTRACT
Internal Control. The internal control is defined as a process carried out by the
board of directors, managers and the personnel of an entity, designed to provide
reasonable security looking at the execution of the objectives in the following
categories:
• Effectiveness and efficiency of the operations
• Reliability of the financial information
• Execution of laws and special regulations
Integral Internal Audit. The integral focus realizes that the Internal Audit is a single
function with different focuses and reaches (Management Audit, Operational Audit,
Financial Audit, Execution Audit, Internal Control Audit); it is about organizing in a
methodical and systematically way, each one of the auditing types inside of a
general program. With this, the auditor gains efficiency and effectiveness in the
development of the programs.
Management of Risks. Is the process of planning, organizing, directing and
controlling the resources and the activities of the company, in order to minimize the
effects caused by accident, which affect the company in a short period of time.
Risk’s Management Stages
• Company Background and Knowledge
• Risks Evaluation and identification
• Risks’ Control Analysis Techniques
10
• Choosing the best option
• Execution of the selected option
• Result and Performance Analysis
Internal Audit and Risks’ Management. The Internal Audit can participate actively in
the construction of the risk’s management systems, having the opportunity to
participate, but not having the opportunity for making decisions. This is done
through the participation with its integral knowledge, sagacity and professional
preparation to assure that the system built is effective enough.
11
INTRODUCCIÓN
Los conceptos de control, autocontrol, auditoria y riesgos han sido objeto de
estudio en los últimos años. Cada vez, cobra mayor importancia para las
organizaciones, la evaluación de su estructura operacional, administrativa y
financiera; es necesario diseñar e implementar modelos que coadyuven a la
consecución de los objetivos organizacionales y brinden tranquilidad a la alta
administración. Es por esto, que las teorías acerca de los mecanismos de control,
han sido implementadas con un fuerte énfasis en el control interno. Este, es el
pilar sobre el cual, estarán edificados todos los planes de la empresa, garantizará
la consecución de objetivos primordiales de eficiencia y eficacia en el manejo de
los recursos, información de calidad y cumplimiento de la normatividad aplicable.
Esta no es una tarea sencilla. Existen innumerables complejidades en las
organizaciones que les impiden o dificultan el desarrollo eficiente de su objeto
social; además, se presentan factores internos y externos que pueden llegar a
afectar críticamente los resultados de la compañía y poner en duda su
participación en el tiempo.
Lo anterior hace necesario definir con claridad, los sistemas y unidades que serán
partícipes en la construcción de los modelos. El control interno es un sistema de la
organización para la organización, es desarrollado por la alta administración y
divulgado a todo nivel. El control interno necesita funcionar por sí mismo; pero
también, requiere de la revisión de agentes independientes que validen su
eficacia; es en este punto, donde la Auditoria Interna actúa con sus programas de
trabajo, para evaluar el sistema y brindar oportunidades de mejoramiento.
12
El control interno, abarca dentro de sus componentes la valoración de riesgos.
Esta es quizás una de las más adecuadas herramientas que posee la
administración para garantizar que factores internos o externos no puedan afectar
en forma crítica la organización y sirve para estar atentos a la implementación de
acciones preventivas o correctivas ante la materialización de los riesgos.
Esta monografía está preparada con el objetivo de proporcionar los principios
filosóficos, conocimientos básicos y los instrumentos que la alta administración
necesita para efectuar un adecuado manejo de los riesgos que rodean la empresa
y su relación con la Auditoria Interna. Se comenzará inicialmente, con el desarrollo
de los conceptos de control interno, sus objetivos, componentes y responsables.
En capítulos siguientes, se abordará la auditoria interna integral desde sus
perspectivas, estructuración, áreas que la involucran, construcción de un modelo
de auditoria y por último, la finalización y responsabilidades del auditor interno.
Por último, se desarrollará el capítulo de gerencia de riesgos; con el cual, se
abordarán los conceptos más relevantes: objetivos, sujetos de riesgo, factores de
riesgo, construcción del modelo y con mayor énfasis, la identificación y valoración
de riesgos.
13
1. PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA
1.1 DESCRIPCIÓN DEL PROBLEMA
El control interno se define ampliamente como un proceso realizado por el consejo
de directores, administradores y otro personal de una entidad, diseñado para
proporcionar seguridad razonable mirando el cumplimiento de:
• Efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
El enfoque integral hace inferir que la Auditoría Interna es una sola función con
diferentes enfoques de intervención y alcance (Auditoria administrativa,
operacional, financiera, de cumplimiento, de gestión y de control interno); se trata
de organizar metódica y sistemáticamente cada uno de los tipos de auditoría
dentro de un programa general. Con esto, se gana en eficiencia y efectividad en el
desarrollo de los programas de trabajo del Auditor.
La Auditoría Interna puede participar activamente en la construcción de los
sistemas de administración de riesgos, teniendo voz pero no voto, esto es,
aportando sus conocimientos integrales, sagacidad y preparación profesional para
asegurar que el sistema construido sea lo suficientemente eficaz.
14
Ante la constante dinámica del entorno empresarial, un control interno basado en
la administración de riesgo contribuye a que las organizaciones tengan una mayor
agilidad y capacidad de respuesta sobre la base de una participación activa de
todos los integrantes de forma responsable, lo que se traduce para una empresa
en el aumento de posibilidades en el aprendizaje del mismo. El riesgo no se crea
ni se destruye, solo se transforma y siempre estará en todas las posibilidades.
Administrar riesgo es siempre sinónimo de incertidumbre, sin embargo, debe
existir un clima que satisfaga ciertos factores determinantes inclusive en la
competitividad empresarial.
De estos factores, se desprenden una serie de beneficios como son1:
• Una base más rigurosa para la planeación estratégica como resultado de
una consideración estructurada de los elementos clave del riesgo.
• Una mejor identificación y explotación de las oportunidades
• No hay sorpresas costosas debido a que los riesgos indeseables son
identificados y gestionados.
• Mejores resultados en términos de eficacia y eficiencia de los programas
por ejemplo: mejor servicio al cliente y/o mejor uso de los recursos
(personal, fondos y equipos)
• Mayor apertura y transparencia en la toma de decisiones y en el proceso de
gestión en curso
1 NORMA Técnica Colombiana. NTC-5254 de 31 de Agosto de 2004.
15
• Una mejor preparación y facilitación de los resultados positivos de los
procesos de auditoría y revisión interna/externa posteriores.
• Mejora en el control de pérdidas, reducción de daño de incidentes/pérdidas
y costo del riesgo, incluida las primas de seguros comerciales.
• Potencial de reducción o estabilidad en los costos de financiación de
riesgos a largo plazo debido a una mayor confianza de los aseguradores en
sus clientes conscientes de los riesgos.
• Una mayor flexibilidad en el desarrollo de acciones alternativas, a través de
una mejor comprensión de las fuentes de riesgos
• Conformidad con la legislación pertinente
• Aplicable a cualquier tipo de organización sin importar el sector, naturaleza
o tamaño.
1.1.1 El Riesgo, una constante. El riesgo siempre está presente, es inherente al
ser humano y sus actuaciones, no tienen atributo de universalidad y de
intemporalidad, sino que en la medida en que cada sujeto satisface cada uno de
sus intereses, propósitos y objetivos, simultáneamente inhibe o limita la
participación de otros, o dicho de otra forma cuando los hombres persiguen sus
propósitos personales, es excluyente de los otros y allí comienza el riesgo.
Por lo tanto, el riesgo, son circunstancias permanentes dentro de una organización
y de hecho, cuando es necesario la toma de decisiones. En la administración de
riesgos, se está orientada a la toma de decisiones sin exponer la empresa a una
amenaza innecesaria y esa misma dirección se invita a la organización a que
analice que el riesgo sea administrado.
16
Administrar el riesgo es un proceso que permite identificar, analizar y resolver
cualquier evento o condición que puede influir positiva o negativamente en el logro
de los objetivos y metas empresariales.
“Con la rapidez del cambio viene la incertidumbre, y con la incertidumbre viene el
Riesgo”2. Bajo esta premisa, es que plantea la necesidad del comportamiento del
auditor interno en la urgencia de manejar la administración de riesgos, basado en
una nueva concepción administrativa empresarial.
1.2 FORMULACIÓN DEL PROBLEMA
¿Cuál debe ser el papel del auditor interno en la administración de riesgos en una
empresa de servicios?
¿Cómo debe ser la implementación teórica y metodológica del papel del auditor
internos en la administración de riesgos en una empresa de servicios?
¿Cuáles deben ser los conocimientos básicos y los instrumentos que la alta
administración necesita para efectuar un adecuado manejo de los riesgos que
rodean la empresa y su relación con la Auditoría Interna?
¿Cuál son los objetivos, sujetos de riesgo, factores de riesgo, construcción del
modelo y con mayor énfasis, la identificación para determinar una valoración de
riesgos dentro una empresa de servicios?
2 HUGH, Courtney. (2002). Pre-visión 20/20. Grupo Editorial Norma. Primera edición. Bogotá, Colombia. Pág. 9.
17
1.3 DELIMITACION DEL PROBLEMA
1.3.1 Espacio. Los procedimientos de auditoría interna basado en riesgos en una
empresa de servicios, situado en Colombia.
1.3.2 Tiempo. La investigación se desarrolla en un período de tiempo necesario
comprendido durante el año 2010
1.4 OBJETIVOS
1.4.1 Objetivo General
Identificar la responsabilidad que tiene la Auditoría Interna en el montaje y
verificación del sistema de administración de riesgos en una empresa de servicios,
para implementar mecanismos que permitan un adecuado control interno.
1.4.2 Objetivos Específicos
• Proporcionar información útil y precisa acerca de los diferentes mecanismos
que coadyuvan al control en las organizaciones de una empresa de
servicios.
• Evaluar la importancia de cada uno de los objetivos y componentes del
control interno.
• Establecer las etapas generales que deben ser desarrolladas por la
Auditoría Interna para el logro de sus objetivos.
18
• Analizar el concepto de Gerencia de Riesgos y el impacto que puede tener
en el cumplimiento de los objetivos del control interno.
1.5 JUSTIFICACIÓN
Debido a surgimiento de las economías emergentes dinámicas, la incertidumbre,
perplejidad, contradicción y cambio continuo son algunas de las circunstancias
que caracterizan el nuevo estadio social, sobre el que reposa la organización
empresarial actual.
El cambio es el factor predominante de las organizaciones empresariales en el
presente siglo y ante esto la aparición de riesgos que la empresa está obligada a
administrar. Así mismo, las presiones y transformaciones que la globalización
conlleva en todos los planos de la sociedad intencionada se extrapola y exige
ambientes homogéneos que permiten actuar a las organizaciones en forma
interdependiente.
Dentro de este orden de ideas, el nivel estratégico de las empresas en Colombia,
no se dimensionan las bondades que para la gestión significa el control interno y
sobre éste la administración de riesgos.
El control interno es un proceso importante en el desarrollo empresarial ya que
permite una efectividad y confiabilidad en la información financiera para el
cumplimiento de las leyes y regulaciones establecidas dentro un marco normativo
contable.
Establecer un análisis del papel del auditor interno en el proceso de administración
de riesgo, constituye uno de los elementos más importantes en la empresa para
19
identificar elementos y/o factores que no son de entera eficiencia y confiabilidad
cuando existen riesgos que son cuantificables y verificables.
Es importante este tipo de estudios, porque permite identificar procesos de riesgos
en las organizaciones, pudiendo ser corregidos en el menor tiempo posible o
buscando mejorar o implementar estrategias o procesos diferentes evitando
errores futuros.
1.6 METODOLOGÍA
1.6.1 Tipo de investigación. El tipo de investigación que se pretende desarrollar
es de carácter descriptivo y exploratorio, pues lo que se procura es responder a
una pregunta de viabilidad3 y el desarrollo de un proceso existente en una
organización empresarial y que no se ha contextualizado; así mismo, con este tipo
de investigación se pretende proporcionar un panorama amplio y general acerca
del tipo de riesgos existentes en la administración organizacional desde el punto
de vista del auditor interno y sus posibles consecuencias.
De conformidad con Sabino, C4. "la investigación descriptiva consiste en describir
algunas características fundamentales en conjunto homogéneo de fenómenos,
utilizando criterios sistemáticos que permitan poner de manifiesto su estructura o
comportamiento”.
1.6.2 Muestra. Debido a que el tipo de muestra probabilística aplica a la población
universo, no permite dar un resultado del estudio a corto plazo, se utilizó el tipo de
Muestra no Probabilística o dirigida “Sujeto – Tipo”, empleada generalmente en
3 BAPTISTA, Pilar. (2003). Metodología de la investigación. Chile: Don Bosco, p. 564 SABINO, C. El Proceso de Investigación. Editorial Panapo. Caracas. 2003, 2p. 89
20
investigaciones de tipo cualitativo, donde el objetivo es la profundidad y calidad de
la información y busca analizar los valores de determinado grupo social.
1.6.3 Instrumentos de recolección e información
Fuentes Primarias. Recolección de datos que pueden ser mediante indicadores
empresariales o estadísticos relacionados con el desarrollo interno de las
empresas en Colombia.
Fuentes Secundarias. Para el análisis y diagnóstico del trabajo, se acudió a
escritos e información institucional que lograron ampliar la visión no sólo
conceptual, sino también práctica de los diferentes aspectos del tema de
investigación. Esto se logró por medio de consultas en textos especializados en el
tema, internet y otras.
Otras fuentes. Estudios sectoriales de los entes de investigación contable y de
auditoría, sitios web relacionados con la gestión de procesos de auditoría interna
que sirven de mucho análisis documental para la investigación.
1.6.4 Variables
El análisis de la información necesaria está basado en las siguientes variables:
• Económicas
Crecimiento empresarial
Nivel económico
• Contables
Procesos contables
Auditoría interna
21
2. MARCO DE REFERENCIA
2.1 ANTECEDENTES
La globalización constituye el fenómeno que ha modificado el antiguo carácter de
la economía internacional y las relaciones comerciales, financieras y laborales
entre las naciones y entre empresas. Es considerada como un proceso
beneficioso para el desarrollo económico mundial en la que todos los países
tienen que prepararse ante los desafíos que este proceso conlleva.
Para hacer frente a estos nuevos retos, las empresas deben cambiar su forma
tradicional de administración. Al identificar los riesgos relacionados con cada uno
de los objetivos de una administración, se puede iniciar a establecer estrategias
para su revisión.
Administrar riesgos implica una proyección en dos vías, una la empresa como
corporación que se dedica a satisfacer las necesidades de los clientes y aumentar
sus valores agregados y por otro lado, el auditor quien desea hacer más trabajo
con menos recursos, evaluando la efectividad de este mecanismo.
El proceso trabaja para asegurar que los objetivos y políticas sean comunicados e
implantados, que el acuerdo con los límites sea supervisado y que las
desviaciones sean corregidas de acuerdo a las políticas de la Gerencia. De este
modo, el concepto de administración de riesgo incluye, pero no se limita a la
evaluación de riesgo y definición de objetivos operacionales cuando estos
términos se definen propósitos de control externo e interno.
22
El proceso de evaluación de riesgos debe ser realizado en forma anual por los
auditores internos, sin embargo, a causa de los cambios en las condiciones, las
prioridades de auditorías pueden ser revisadas y adaptadas a lo largo del año.
Para que la evaluación de riesgo y consecuentemente los sistemas de control
interno sean eficaces la Gerencia General deberá evaluar continuamente el riesgo
que afecta el logro de sus objetivos y reaccionar a las cambiantes condiciones y
circunstancias. Los controles internos pueden necesitar revisión para atender
adecuadamente cualquier riesgo nuevo o previamente no controlado
La evaluación de riesgos es un proceso crucial para el desarrollo de una
planificación eficaz de auditoría interna, ya que le proporciona un medio de
organizar e integrar criterios profesionales para el desarrollo del trabajo del auditor
interno, asignándole las prioridades de auditoría más altas a las actividades con
mayores riesgos.
Durante los últimos años, las empresas han estado bajo la presión para identificar
los riesgos de negocios que ellas enfrentan; sociales, éticos y ambientales, así
como financieros y operacionales.
Las personas realizan actividades de gestión de riesgo para identificar, evaluar,
manejar y controlar toda clase de eventos y situaciones. Estos pueden abarcar
proyectos sencillos o tipos de riesgos definidos contextualmente.
2.2 MARCO TEÓRICO
2.2.1 Control interno. Los directivos modernos tienen como herramienta para la
consecución de sus metas, la implementación de un sólido sistema de control de
23
sus operaciones; con esto, se aseguran que la misión, objetivos y presupuestos
podrán ser alcanzados.
La complejidad de las operaciones y los nuevos retos ante los continuos cambios
de los agentes involucrados (competencia, gobierno, administración tributaria,
clientes) hacen que los sistemas implementados sean lo suficientemente flexibles
ante dichas variaciones; sin perder la efectividad de los mismos. “Los controles
internos promueven la eficiencia, reducen los riesgos de pérdida de activos y
ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de
las leyes y regulaciones”5.
El control interno nunca podrá ser evaluado con referencia a la seguridad
absoluta. Existen situaciones como fallas humanas, acuerdos interpersonales para
violentar la segregación de funciones, abuso del poder, costo del control, etc., que
hacen vulnerable el sistema en sí; por lo cual, solo podrá obtenerse “Seguridad
razonable”; sin embargo, un buen sistema de control interno genera confianza a
los directivos en cuanto al cumplimiento de las siguientes categorías:
• Efectividad y eficiencia de las operaciones
Esta primera categoría tiene inmerso el cumplimiento de los objetivos
organizacionales de rentabilidad y salvaguarda de los activos. La rentabilidad está
dada en cuanto a resultados del ejercicio sobre la inversión realizada. Los dueños
de las empresas, según su necesidad o perspectiva, desean rentabilidades que
les permitan cualquiera de las dos siguientes alternativas: Reparto de utilidades o
crecimiento. Cualquiera que sea el objetivo, el sistema de control debe servir para
su cumplimiento. Ahora, todos los procesos, tareas y actividades deben ser
ejecutados bajo un marco de actuación estándar que no dé lugar a dualidades y
que permita minimizar la posibilidad de errores o irregularidades. En este punto
5 CONTROL Interno: Estructura conceptual integrada. ECOE Ediciones
24
cobra mayor importancia la conciencia de cada uno de los actores involucrados:
Junta Directiva, personal administrativo y empleado, cada uno, con mayor grado
de responsabilidad para fortalecer el sistema en sí.
• Confiabilidad de la información financiera
La información se ha convertido en uno de los activos más importantes de las
organizaciones. Todas las transacciones realizadas en la empresa (compras,
ventas, nómina, etc.) son registradas de forma tal que puedan ser verificadas y
resumidas para la toma de decisiones. No es concebible un sistema de
información que presente errores o que sea inoportuno; lo cual, ampliaría la
posibilidad de malas decisiones, o en algunos casos, abstenerse de tomar
decisiones. Es aquí en este punto, donde obtiene su fuerza el sistema de control
interno: Información confiable (real y razonable) y oportuna (en el tiempo justo).
• Cumplimiento de las leyes y regulaciones aplicables
La constante en los países en vía de desarrollo, es la diversidad de normas y
entidades regulatorias; así como, la falta de normatividad de largo plazo. Existen
gran cantidad de organismos que legislan y vigilan las empresas; cada uno con
fines particulares y en la mayoría de los casos sin retroalimentación entre ellos.
Es por esto, que gran parte del año, las organizaciones tengan que invertir gran
cantidad de tiempo en elaborar las declaraciones y verificar su correcto
diligenciamiento para no incurrir en sanciones onerosas. Ahora, hasta que no
exista una legislación que agrupe, estandarice y minimice la emisión de
información a terceros, las empresas deberán fortalecer sus sistemas de control
para minimizar la posibilidad de errores en interpretación de normas, elaboración
de declaraciones y pago de impuestos.
25
No solo debe el sistema de control interno, verificar el cumplimiento de las leyes
emitidas por terceros. Debe de igual manera, garantizar el cumplimiento de las
disposiciones de las asambleas de accionistas o juntas de socios.
2.2.2 Componentes del Control Interno. El control interno no se limita a la
simple manifestación escrita del “Deber ser” en cada actividad desarrollada. Es un
proceso como tal que involucra personas, procedimientos y recursos y que se
basa en cinco componentes a saber:
1. Ambiente de control. El ambiente de control es quizás el primer y más
fuerte componente del sistema de control interno. Puede describirse como
la “Cultura organizacional del control”; es decir, es la forma o la conducta
que se proyecta desde la alta dirección hasta el personal operativo para
conseguir los objetivos planteados. Si la más alta administración no irradia
dicha conducta, no puede esperarse que el personal a su mando interiorice
y haga parte integral de su trabajo el control interno. “El ambiente de control
es la condición para una cultura del control”6.
El ambiente de control debe considerar aspectos como:
a. Integridad y valores éticos: La sociedad espera mucho más de una empresa
que el simple cumplimiento de las normas. Se requiere que la alta administración
proyecte responsabilidad, honestidad, rectitud, transparencia, lealtad, etc.
Esto se da generalmente mediante la emisión de “Códigos de conducta o ética”;
en los cuales, se plasman los valores, deberes y prohibiciones en las relaciones
con: clientes, proveedores, dueños, empleados y público en general; así como se
plantea el deber ser en actuaciones que comprometan los objetivos de la
6 REVISTA Contaduría N° 31 Pág. 133.
26
organización como: conflictos de intereses, respeto a la dignidad humana,
cumplimiento de leyes, comisiones, sobornos, uso de información privilegiada, etc.
“Un clima ético corporativo fuerte en todos los niveles es vital para el
bienestar de la corporación, de todos sus componentes, y del
público en general. Tal clima contribuye de manera importante a la
efectividad de las políticas de la compañía y de los sistemas de
control, y ayuda a influenciar la conducta que no está sujeta de la
misma manera a los más elaborados sistemas de control”7.
b. Valoración de riesgos. Existen ciertas actitudes que pueden desencadenar
actos deshonestos o ilegales en las organizaciones. Estas deben estimular los
comportamientos éticos no presionando excesivamente por los resultados; en
especial, los de corto plazo, fomentando la justicia, no sobreponiendo los intereses
de la organización por encima de cualquier otro, realzando el control interno y la
auditoría interna y sancionando los actos antiéticos.
Se presenta a menudo que los objetivos o presupuestos son poco reales e
involucran niveles de incentivos bastante onerosos que generan irregularidades
para conseguirlos.
Los planes de incentivos deben basarse en proyecciones reales y deben
enfocarse al largo plazo; esto con un sistema de control que permita detectar
errores o irregularidades, se obtendrá un sistema confiable en el cual, los
empleados se comprometerán de manera eficiente y eficaz por el cumplimiento de
las metas organizacionales.
Existen además ciertas “Tentaciones” que podrían generar actos indebidos de los
empleados:
7 REPORT of the National Commission on Fraudulent Financial Reporting, 1987
27
• Controles inexistentes o inefectivos como mala segregación de funciones
en áreas sensibles.
• Alta descentralización
• Auditoría Interna débil
• Junta Directiva que no presiona ante ineficiencias de la administración.
• Sanciones no publicadas
• Impunidad.
c. Proporcionando y comunicando orientación moral: La manera más efectiva
de transmitir un mensaje de comportamiento ético en la organización es el
ejemplo8.
Como se dijo anteriormente, la alta dirección debe plasmar en documentos
escritos los valores éticos que deben ser seguidos por los empleados; sin
embargo, se requiere ir más allá y dar a conocer de manera verbal o mediante
ejemplos, el significado de cada concepto desarrollado.
d. Compromisos para la competencia: En este punto se evalúa de forma directa
el conocimiento y las habilidades que tiene el personal para realizar las tareas que
le son encomendadas.
La mayoría de las empresas carecen de estudios de competencias en los cuales,
se debería determinar para cada puesto de trabajo entre otros: Estudios 8 CONTROL Interno: Estructura conceptual integrada. ECOE Ediciones
28
requeridos, formación profesional, experiencia laboral, habilidades específicas. Es
por esto, que constantemente se presentan altas rotaciones de personal por la
falta de adaptación de los empleados a los requerimientos de las organizaciones.
Definir las competencias y habilidades del personal, fortalecerá el ambiente de
control y proporcionará seguridad razonable que dicho personal estará cumpliendo
a cabalidad con los objetivos organizacionales.
e. Filosofía y estilo de operación de la administración: La gerencia debe hacer
un manejo prudente, identificando y minimizando los riesgos del negocio y
comprometiéndose con el control interno y la auditoría interna.
El concepto que se tenga sobre el control interno varía en cada organización,
dependiendo del nivel de riesgo que se esté dispuesto a asumir y la rentabilidad
esperada. Una compañía administrada informalmente podría establecer un
sistema de control interno basado en el contacto personal con los administradores.
f. Estructura organizacional: No importa el tamaño ni las unidades estratégicas
de negocio que tenga la organización. Cualquier actividad llevada a cabo debe ser
estructurada para cumplir con los objetivos específicos.
Sin embargo, es necesario establecer cuáles son las áreas clave que determinan
el cumplimiento de los máximos objetivos, cuáles son sus estrategias, niveles de
autoridad y responsabilidad y los canales de comunicación e información
apropiados.
g. Asignación de autoridad y responsabilidad: Como se ha venido exponiendo,
los objetivos organizacionales deben ser conocidos y entendidos por los
empleados. Si bien, la responsabilidad final en la consecución de dichos objetivos
depende directamente de la alta administración, no debe menoscabarse la
29
importancia que asume cada empleado en la línea de la estructura organizacional
a la cual pertenezca. Es por esto, que según el nivel de riesgo y con una
adecuada calificación de competencias y habilidades del personal, se deberá
asignar autoridad y responsabilidad a cada uno de forma clara y precisa.
El nivel de autoridad varía como se dijo según las competencias y habilidades del
personal; con esto, se llegará a una seguridad razonable para el cumplimiento de
los máximos objetivos organizacionales. Dicha autoridad deberá estar totalmente
clara y documentada sin caer en excesos; es decir, tratar de describir solamente
las decisiones generales que el empleado puede tomar y relacionar explícitamente
el nivel de autoridad jerárquico en la organización. De la misma forma, se debe
identificar las responsabilidades de los empleados aún cuando no tengan relación
directa con toma de decisiones.
Una de las razones fundamentales al asignar un adecuado sistema de autoridad y
responsabilidad, es precisamente el fomento de la iniciativa; con la cual, se podrá
lograr empoderamiento de los empleados; esto es, sentir que son importantes
dentro de la organización y que su trabajo y sugerencias son evaluadas
constantemente por la administración.
El sistema de control interno debe ser lo suficientemente eficaz para ejercer la
supervisión de los niveles de autoridad y responsabilidad; puesto que, al hacer tal
delegación, no se exime a la alta dirección de su compromiso por el cumplimiento
de los objetivos; por el contrario, se hace necesario que constantemente se
monitoree el sistema y se hagan ajustes para que todos los empleados de la
organización sientan el acompañamiento y la revisión de sus actividades.
h. Políticas y prácticas sobre recursos humanos: Es uno de los aspectos del
Ambiente de control, que debe ser estructurado con absoluta diligencia. Se
observa como en los ítems, hacen referencia en su mayoría a la persona como la
30
base del sistema de control interno; esta importancia, no debe ser subvalorada
puesto que se estaría al borde de un sistema con pilares débiles que no servirían
en la consecución de los objetivos organizacionales.
Ahora, al hablar del recurso humano, deben considerarse aspectos como:
• Procesos de selección y vinculación: Como se planteó anteriormente,
cuando las empresas son capaces de identificar los perfiles de los
empleados requeridos, su nivel de competencia, habilidades, estudios y
actitudes personales, se lograrán efectuar procesos de selección lo
suficientemente efectivos; el riesgo de seleccionar un empleado que no
cumpla con los estándares establecidos será mínimo. Igualmente, las
empresas deben desarrollar planes serios de vinculación inducción a los
nuevos empleados; con lo cual, se logrará que estos obtengan una visión
de la estructura, objetivos, responsabilidades, niveles de autoridad y
funciones a su cargo; el resultado será entonces la vinculación de
empleados eficientes. Por último, las organizaciones deben establecer
programas de capacitación interna o externa para refrescar los
conocimientos y adecuarlos a los nuevos requerimientos del entorno.
• Remuneración: Debe ser justa y suficiente según las escalas salariales
establecidas, no deben presentarse diferencias abismales entre los salarios
de empleados que efectúen la misma actividad; debe estar orientada el
cumplimiento e objetivos y ser consecuente con el nivel de autoridad y
responsabilidad que tenga el empleado. Igualmente, debe existir un
programa de incentivos “Sano” y controlado que motive a los empleados y
aumente su compromiso por la organización.
• Acciones disciplinarias: Con estas, se enviará un mensaje a los empleados
sobre las acciones que la empresa considera inaceptables y servirá como
referencia para el comportamiento de los demás empleados.
31
La actitud y el interés de la alta gerencia por un control interno efectivo deben
cubrir toda la organización. No es suficiente pronunciar las palabras correctas.
Una actitud de “lo digo, no lo hago” muy difícilmente podrá originar un ambiente
Sano9.
2. Valoración de riesgos. Este componente del sistema de control interno
será desarrollado con mayor profundidad en el capítulo de gerencia de
riesgos; sin embargo, se dará una breve descripción del proceso de
valoración de riesgos para seguir hilando cada uno de los componentes en
aras de la correcta interpretación del control interno.
La valoración de riesgos se refiere a la identificación y análisis de hechos
indeseados que pudiesen ocurrir y que serían determinantes para la no
consecución de los objetivos trazados por la organización. Se presenta entonces
la condición necesaria del establecimiento de las metas u objetivos
organizacionales; los cuales, serán el referente en la evaluación de los riesgos
relevantes que puedan afectar la organización. La relevancia tiene relación con los
riesgos más significativos y que pueden producir efectos en la organización,
pueden existir riesgos que no tengan una participación o valoración importante y
que por lo tanto, no producirían impacto altamente negativo; con lo cual, no se
quiere decir, que dichos riesgos no deban ser considerados.
Los riesgos son originados por causas internas y externas como10:
9 CONTROL Interno: Estructura conceptual integrada. ECOE Ediciones10 Ibídem
32
• Cambios en la operación
• Personal nuevo
• Sistemas de información deficientes
• Cambios en los sistemas de información
• Crecimiento rápido
• Nueva tecnología
• Poca experiencia en nuevos negocios
• Reestructuración corporativa
• Cambios en la normatividad
• Cambios macroeconómicos
• Eventos naturales
Estos y muchos otros factores ejercen un gran presión al sistema de control
interno; en especial, al sistema de valoración de riesgos para adaptarse y ser lo
suficientemente efectivo en la identificación y análisis.
Pasos de la valoración de riesgos:
a. Identificar: Consiste en determinar cuáles son los riesgos que afectan la
organización o unidad estratégica de negocios. Es recomendable trabajar la
administración de riesgos bajo el enfoque de procesos y posteriormente
consolidar para hallar el riesgo total de la organización. La identificación se
puede hacer a través de diferentes técnicas como la “Lluvia de ideas”; la
cual, consiste en plasmar todos los riesgos que se crean pueden afectar la
unidad evaluada y posteriormente filtrarlos y dejar solo aquellos que tengan
una real probabilidad. Esta tarea la debe efectuar el comité de riesgos y
requiere un conocimiento previo del área a evaluar.
33
b. Valorar: Una vez identificados los riesgos, se procede a construir una matriz
para cuantificar la probabilidad de ocurrencia y el impacto en caso de que el
riesgo se materialice. Se recomienda establecer escalas de valoración
estándar para todo el sistema. La valoración debe basarse en modelos de
calificación de riesgos, en el conocimiento, cantidad de activos involucrados
y percepción cualitativa de los integrantes del comité de riesgos.
c. Graficar: Ayuda a visualizar cuales riesgos son los más relevantes y
delicados.
d. Los riesgos con probabilidad de ocurrencia e impacto altos, serán los
primeros en ser analizados para tomar acciones.
e. Análisis: Una vez establecidos los riesgos según su relevancia, se procede
con el análisis crítico de las causas que los originan y sus consecuencias.
Como se mencionó anteriormente, existen factores internos y externos;
estos últimos, en la mayoría de las ocasiones son ajenos a la voluntad de la
organización y no son controlables por la misma. Esta etapa sirve para
preparar los planes de acción.
f. Acciones: Es el punto final de la valoración de riesgos y consiste en todas
las estrategias que se adoptarán para la administración de los riesgos; las
cuales, deben estar enfocadas a minimizar la probabilidad de ocurrencia o
mitigar el impacto. Algunas de las decisiones pueden ser:
• Asumir el riesgo: Convivir con el riesgo sin tomar acciones y siendo
consciente de ello.
• Eliminar el riesgo: La única forma sería eliminando la causa que lo origina.
Generalmente, no es la decisión más común.
34
• Transferir el riesgo: Se puede dar de dos maneras: A través de contratos de
seguro o mediante la cesión del factor de riesgo a terceros.
• Asignación de recursos: Adquirir elementos de protección personal, nuevas
tecnologías, programas de capacitación, etc.
• Combinación de todas las estrategias.
No puede establecerse cuál sería la decisión más acertada para la administración
de un riesgo, esto depende del nivel de riesgo que la empresa esté dispuesta a
asumir, de la cantidad de recursos involucrados en la unidad evaluada, de la
cultura organizacional, tamaño de la empresa, etc. Cada evaluación se hará de
manera particular.
3. Información y Comunicación. Un adecuado uso de la información y un
sistema de comunicación adecuado, brindan la posibilidad de operar y
controlar los negocios. Cuando se habla de información, no solo se
circunscribe a la financiera. Aun cuando tradicionalmente todos los
procesos desarrollados en la organización se resumen y vinculan a los
estados financieros, existe un sinnúmero de opciones para presentar
información con mayor grado de utilidad. Los informes financieros, en su
mayoría, son rígidos y están enfocados al cumplimiento de requisitos de las
entidades de control.
Por lo anterior, se hace necesario generar información con calidad; esto es, que
sea pertinente (solo la necesaria), oportuna (en el tiempo requerido), confiable
(real y verificada) y accesible (fácil de generar).
35
La calidad de la información generada por el sistema afecta la habilidad de la
administración para tomar decisiones apropiadas en la administración y control de
las actividades de la entidad y para preparar informes financieros confiables11.
El procesamiento de información igual que los demás procesos generados en la
organización debe estar enmarcado por controles que permitan: Capturar y
procesar la información relevante, validarla, efectuar cálculos matemáticos,
generar resúmenes y conciliarla. Esto permitirá cumplir con el objetivo de
información de calidad. La información es uno de los activos más valiosos de las
organizaciones.
La comunicación está ligada al entendimiento de la información y
responsabilidades individuales. No se requiere establecer métodos rígidos y
únicos; por el contrario, se necesitan canales o formas de comunicación que
aseguren la suficiente retroalimentación en el sistema; esto es, se puede efectuar
por escrito o verbal mediante reuniones grupales. Debe fluir de arriba hacia abajo
(cuando la alta administración emite políticas, objetivos organizacionales, etc.) y
de abajo hacia arriba (para conocer el desempeño y apreciaciones en la ejecución
de las actividades operativas y hacer seguimiento).
La comunicación toma formas tales como: Manuales de políticas, procedimientos,
códigos de conducta, carteleras, boletines, buzones, teléfonos, memorandos,
intranet, entre otros. Lo importante es que la alta administración valide la forma en
cómo se está manejando la información y comunicación y que los objetivos de
retroalimentación sean cumplidos.
4. Actividades de Control. El componente que se desarrolla, pretende de
manera práctica, resumir e identificar las actividades particulares que
servirán para el cumplimiento de cada uno de los objetivos operativos,
11 MANUAL de Auditoría y Revisoría Fiscal. Yanel Blanco Luna. ECOE Ediciones
36
financieros y para el cumplimiento de leyes; así como protección de la
empresa contra los riesgos evaluados.
Las actividades de control se realizan en todas las unidades operativas y están
compuestas entre otras por: políticas y procedimientos, establecimientos de
niveles de aprobación, autorización, verificaciones, conciliaciones, segregación de
funciones, restricciones de acceso, entre otras.
Cuando se establecen las actividades de control, se tiene que ser lo
suficientemente inteligente para detectar cuáles son los riesgos más significativos
que afectan cada unidad de negocio, y cuáles son los objetivos principales. Esto
se plantea con el fin único de buscar actividades de control eficientes y efectivas;
algunos procesos requerirán de controles más estrictos mientras que otros, podrán
ser simples. Si bien, los controles son necesarios para garantizar el cumplimiento
de los objetivos, no se pueden caer en excesos que impidan el libre desarrollo de
las actividades operativas; los controles, deben convertirse en parte integral del
proceso y deben ser asumidos con responsabilidad por todos los actores
involucrados.
Tipos de actividades de control
• Revisiones gerenciales: Se requiere que la alta administración vele por que
cada una de las unidades estratégicas de negocio, cumplan con los
objetivos, presupuestos, pronósticos; se requiere además, revisar los
planes internos, nuevas estrategias, innovación, etc. Esta revisión de
desempeño (no solo personal), genera “Ambiente de control” y permite a la
administración estar al tanto de la ejecución de los planes en tiempo real.
• Procesamiento de información: El establecimiento de un sistema de
información confiable, requiere de la identificación de cada uno de los
37
movimientos que afectan o interactúan con los diferentes softwares que se
tengan disponibles. Una vez identificados, se requiere establecer niveles
óptimos de autorización y aprobación, control de consecutivos,
establecimiento de tiempos para el procesamiento, verificación de la
integridad de la información, revisión de la parametrización, conciliaciones,
entre muchos otros. Esto hace que el sistema funcione adecuadamente y
proporcione información de calidad como se mencionó en puntos
anteriores.
• Controles físicos: Estos controles tienen estrecha relación con la
salvaguarda de los activos; sin embargo, no solo se centra en la realización
de inventarios físicos; sino también, en el establecimiento de controles de
acceso, rotación de inventarios, revisión de productos perecederos, niveles
de obsolescencia, etc.
• Indicadores de desempeño: Son actividades básicas a realizar bajo las
últimas teorías administrativas. Indicadores bien diseñados, permiten
detectar desviaciones a los estándares, partidas inusuales, problemas de
costos, entre otros.
• Segregación de responsabilidades: Es uno de los controles más conocido y
tiene como fin principal, que algunas actividades “Incompatibles” no sean
realizadas por la mima persona. Con esto, se minimiza el riesgo de fraude o
errores sin intención.
• Políticas y procedimientos: La política constituye el marco general de
actuación y no requiere estar por escrito cuando ha sido suficientemente
retroalimentada en el tiempo. Los procedimientos parten de la política y
describen la forma en cómo se desarrollarán las actividades en cada
proceso o unidad estratégica de negocios; los procedimientos tienen
38
implícita o explícitamente incorporadas las actividades de control. Debe
considerarse que las políticas y procedimientos no se conviertan en textos
complejos, enormes y de poca consulta; tienen que ser sencillos y
suficientes para que los responsables de su implementación los
comprendan y asimilen de forma efectiva.
• Sistemas de información computarizados: No deben las empresas olvidar lo
que en muchas ocasiones se ha repetido: “La información es uno de los
activos más valiosos de las empresas”. Por esto, el software utilizado, debe
estar correctamente diseñado para satisfacer las necesidades particulares
de las unidades de producción, ventas, información financiera y gerencial.
Además, el continuo establecimiento de nuevas y mejores prácticas y
desarrollo de nuevos software, hace necesario que la empresa esté a la
vanguardia y verifique periódicamente su nivel de control de la información
procesada, el acceso, antivirus, protección física, licencias, actualizaciones,
grado de obsolescencia, entre otros.
5. Monitoreo.
Los sistemas de control interno requieren ser monitoreados o supervisados con el
fin de evaluar si continúan siendo eficaces para el cumplimiento de los objetivos; o
si por el contrario, han sufrido desgastes que impliquen una necesidad imperiosa
de actualización. El desgaste del sistema se puede presentar por: Cambios en las
condiciones del mercado, obsolescencia de los sistemas computarizados, ingreso
de nuevo personal, aumentos en el nivel de operación, disminución de los
recursos asignados al control, aumento de la calificación de riesgos, entre otros.
La revisión del sistema debe estar basada inicialmente en la potencialidad de los
riesgos identificados en la organización; y deberá ser proyectada en el tiempo;
esto es, establecer un cronograma para la ejecución de dicha evaluación. Sin
39
embargo, algunas de las actividades de control son altamente sensibles, por lo
tanto, requerirán de mayor énfasis en su evaluación (se hacen en tiempo real).
La función de monitoreo debe ser ordenada por la alta administración y en primer
lugar, será desarrollada por cada gerente o director de área. Esto sin embargo,
genera cierto grado de desconfianza cuando dicha tarea es asignada a personal
de menor grado (segregación de funciones e independencia). Comúnmente son
los Auditores Internos quienes dedican gran parte de su trabajo a la evaluación del
sistema de control interno, en ocasiones, es la misma gerencia la que solicita
directamente la verificación por parte del departamento de Auditoría.
Implícitamente, algunos departamentos o empleados efectúan la verificación del
sistema de control interno mediante cruces de información, fallas en los tiempos
de entrega, revisión de información suministrada en el flujo normal, etc. Los
clientes, proveedores y agentes estatales, también proporcionan información que
puede servir como referente para el monitoreo del sistema de control interno.
2.2.3 Rol de Auditoría interna. Los principales roles principales de la auditoría
interna respecto a la administración de riesgo:
• Brindar aseguramiento sobre el proceso de gestión
• Brindar aseguramiento de que los riesgos son correctamente evaluados
• Evaluación de los procesos de gestión de riesgo
• Evaluación de reporte de riesgos claves
• Revisión del manejo de los riesgos claves
Los roles que no debe realizar la auditoría interna son:
• Imponer proceso de gestión de riesgo
• Manejar el aseguramiento sobre los riesgos
40
• Tomar decisiones en respuesta a los riesgos
• Implementar respuesta a riesgos a favor de administración
• Responsabilidad de la gestión
2.3 MARCO LEGAL
El decreto 624 de 1989 que condensó las normas tributarias conformando el
Estatuto Tributario en los artículos 772 a 776 contiene una reglamentación de la
contabilidad en su aspecto fiscal.
Desde el punto de vista tributario, los hechos irregulares están consagrados en el
artículo 654 del E. T; así mismo quien lleva a cabo la auditoría a las declaraciones
del impuesto a las ventas tiene presentes las disposiciones generales, decretos,
concordancias, y leyes reglamentarias sobre dicho gravamen.
LEY 43 DE 1990: De las normas auditoría generalmente aceptadas: El consejo
técnico de la Contaduría Pública se ha pronunciado sobre las normas de auditoría
de general aceptación que deben observar los contadores públicos en ejercicio de
su labor, por cuanto también se ha querido destacar en esta sección del régimen
contable bajo el tema de auditoría.
En cumplimiento del mandato expreso de la Ley 43 de 1990, el Consejo Técnico
de la Contaduría Pública inició en 1993 una labor tendiente a complementar las
normas de auditoría y de ética, desarrollando su alcance de manera similar a
como lo ha venido haciendo la comunidad internacional de Contadores Públicos,
con el propósito de que le sirvan de guía de actuación en el ejercicio de su
profesión, los pronunciamientos en relación con las normas de auditoría se
clasifican así:
41
Pronunciamiento sobre Normas de Ética Profesional.
Pronunciamiento sobre Normas de Auditoría
Pronunciamiento sobre Papeles de Trabajo
Pronunciamiento sobre Normas Relativas a la Rendición de Informes
Normatividad para aplicar Auditoría Externa
Artículo 50-51 Ley 43 de 1990
Artículo 7 de la Ley 43 de 1990
Artículo 41 de la Ley de 1990
El trabajo se fundamental en la aplicación de la auditoría administrativa y
operacional.
2.3.1 Principios básicos que rigen una auditoría.
• El auditor debe ser íntegro, objetivo e independiente: Sin esa integridad e
independencia no se da una auditoría objetiva.
• Debe estar consciente de que su trabajo es confidencial: El auditor a través
del mismo trabajo conoce muchos detalles e intimidades de la empresa, no
puede dar una imagen que haga pensar a la compañía que va a hacer uso
de dicha información para aprovecharse o denunciarla.
• No puede desarrollar una auditoría si no se encuentra competente en esa
área específica: La competencia no la da la calidad de Contador Público, no
se puede ser experto en una auditoría de una compañía, dedicada a una
actividad específica, pero inexperto en una auditoría de otra empresa;
entonces debe asesorarse de un experto u otro colega, porque asumió el
compromiso y no lo puede delegar.
42
• Evaluación de los controles contables, administrativos y controles internos
de la compañía: Con base en esta evaluación se determina el alcance, es
decir, como no se pueden revisar todas las operaciones a examinar, si el
control interno es fuerte se disminuyen las pruebas y si es débil se
aumentan.
2.4 MARCO CONCEPTUAL
Control interno. El control interno se define ampliamente como un proceso
realizado por el consejo de directores, administradores y otro personal de una
entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento
de:
• Efectividad y eficiencia de las operaciones
• Confiabilidad de la información financiera
• Cumplimiento de las leyes y regulaciones aplicables
Auditoría Interna Integral. El enfoque integral hace inferir que la Auditoría Interna
es una sola función con diferentes enfoques de intervención y alcance (Auditoria
administrativa, operacional, financiera, de cumplimiento, de gestión y de control
interno); se trata de organizar metódica y sistemáticamente cada uno de los tipos
de auditoría dentro de un programa general. Con esto, se gana en eficiencia y
efectividad en el desarrollo de los programas de trabajo del Auditor.
Gerencia de riesgos. La gerencia de riesgos es el proceso de planificar,
organizar, dirigir y controlar los recursos y actividades de la empresa para
minimizar los efectos adversos de los sucesos accidentales que afectan la misma
al menor costo posible.
43
Etapas de la gerencia de riesgos.
• Antecedentes y conocimiento de la empresa
• Identificación y evaluación de riesgos
• Análisis de las técnicas de control de riesgos
• Selección de la aparente mejor opción
• Aplicación de la opción seleccionada
• Análisis de los resultados y actuaciones consecuentes
Auditoría Interna y administración de riesgos. La Auditoría Interna puede
participar activamente en la construcción de los sistemas de administración de
riesgos, teniendo voz pero no voto, esto es, aportando sus conocimientos
integrales, sagacidad y preparación profesional para asegurar que el sistema
construido sea lo suficientemente eficaz
3. AUDITORÍA INTERNA INTEGRAL
El desarrollo y evolución de los sistemas de control de las organizaciones, ha
requerido la formación de profesionales que ejerzan las actividades de verificación
44
de los mismos. Las organizaciones realizan diversas actividades operativas,
financieras y administrativas, que finalmente, deben ser resumidas en informes
financieros, administrativos o fiscales. Es por esto, que la función de Auditoría ha
estado vinculada con el ejercicio de la profesión contable; los Contadores Públicos
tienen la potestad de ley, de emitir informes y “Certificar” la validez de los mismos;
de igual forma, son estos quienes obtienen una visión global del negocio y su
formación académica, está enfocada al cumplimiento de los requisitos
establecidos por la organización o las entidades regulatorias.
3.1 DEFINICIÓN Y OBJETIVO
La Auditoría Interna es una función independiente de evaluación, establecida
dentro de una misma organización, para examinar y evaluar sus actividades como
un servicio a la misma organización. Es un control cuyas funciones consisten en
examinar y evaluar lo adecuado y eficiente de otros controles12:
Podría plantearse que la Auditoría Interna sirve para dar “Tranquilidad” a la
organización en la ejecución de cada uno de los procesos; también, constituirá un
apoyo a los miembros de la organización en el desempeño efectivo de sus
actividades.
3.2 ALCANCE Y RESPONSABILIDADES
En el capítulo sobre control interno se planteó que es la alta administración la
responsable de diseñar el sistema en sí. Es demasiado importante que el Auditor
Interno tenga plenamente definida esta responsabilidad; puesto que, no es su
función “Directa” el montaje de dichos sistemas. Su responsabilidad trasciende
12 INSTITUTE of Internal Auditors. The Statement of Responsibilities of Internal Auditing, IIA, EUA,1998.
45
hasta el punto de evaluación y validación de los mismos. Esta consideración se da
por una razón sencilla: Se perdería la objetividad si tuviese que evaluar
procedimientos o controles que el mismo Auditor hubiese implementado. Es por
esto, que cuando se planteó la definición de Auditoría Interna, se incorporó el
término “Independiente”; esto es, el Auditor Interno no debe tener vínculos
emocionales, compromisos con las áreas a auditar, conflicto de intereses o ser
miembro de la alta administración.
Pese a los planteamientos anteriores, el Auditor Interno por su formación
profesional, su grado de independencia y su buen juicio, debe trascender al simple
hecho de emitir informes sobre los hallazgos o falencias encontradas en sus
programas de Auditoría; su responsabilidad y por ende, el valor agregado de los
mismos, debe incluir la “Propuesta” de oportunidades de mejoramiento.
Hace no mucho tiempo, la Auditoría Interna fue concebida como un órgano con
carácter “Policivo”, que simplemente, se limitaba a buscar la mayor cantidad de
errores o irregularidades, en algunos casos, solo para justificar su trabajo. Hasta
ese punto llegaba su responsabilidad. Ahora, con la evolución constante de los
negocios, con legislaciones corto-placistas, ante la penetración de la tecnología en
los procesos y por el creciente desarrollo de los sistemas computarizados, las
organizaciones requieren de profesionales integrales, que velen por el
cumplimiento de los objetivos corporativos y además, sean partícipes de la mejora
en las empresas.
Se presenta entonces una “Delgada” línea entre la responsabilidad teórica y la
necesidad práctica de la función del Auditor Interno. Es en este punto, donde debe
salir a flote la inteligencia del Auditor para proponer mejores formas de hacer las
cosas o simplemente acciones correctivas sin incorporarse directamente con la
función administrativa. La implementación de las oportunidades de mejoramiento,
deben ser responsabilidad de la alta administración.
46
Para finalizar con el alcance y la estructura, es preciso ubicar a la Auditoría Interna
dentro de la estructura organizacional. Como se dijo, la función incorpora la
evaluación de toda la organización; por lo tanto, debe la Auditoría Interna
depender del máximo órgano interno; tradicionalmente, de la Presidencia,
Gerencia General o Contraloría Interna. No sería bien visto; más aún, la
objetividad se podría ver vulnerada, si orgánicamente, la Auditoría Interna
dependiera de una Gerencia o Dirección de área.
3.3 NORMAS DE AUDITORÍA GENERALMENTE ACEPTADAS
Las normas de auditoría contienen las reglas básicas que el contador público
debe seguir de manera estricta en la realización de una auditoria, revisoría fiscal
en el examen de estados financieros, o sea, cuando el contador público realiza
una actividad pública13.
Ley 43 de 1990. Artículo 4°: De las normas de auditoría generalmente aceptadas.
Las normas de auditoría generalmente aceptadas, se relacionan con las
cualidades profesionales del Contador Público, con el empleo de su buen juicio en
la ejecución de su examen y en su informe referente al mismo. Las normas de
auditoría son las siguientes:
Normas personales
a. El examen debe ser ejecutado por personas que tengan entrenamiento
adecuado y estén habilitadas legalmente para ejercer la Contaduría
Pública.
13 PRONUNCIAMIENTO Número 4. Consejo Técnico de la Contaduría Pública
47
b. El Contador Público debe tener independencia mental en todo lo
relacionado con su trabajo, para garantizar la imparcialidad y objetividad de
sus juicios.
c. En la ejecución de su examen y en la preparación de sus informes, debe
proceder con diligencia profesional.
Normas relativas a la ejecución del trabajo
a. El trabajo debe ser técnicamente planeado y debe ejercerse una
supervisión apropiada sobre los asistentes, si los hubiere.
b. Debe hacerse un apropiado estudio y una evaluación del sistema de control
interno existente, de manera que se pueda confiar en él como base para la
determinación de la extensión y oportunidad de los procedimientos de
auditoría.
c. Debe obtenerse evidencia válida y suficiente por medio de análisis,
inspección, observación, interrogación, confirmación y otros procedimientos
de auditoría, con el propósito de allegar bases razonables para l
otorgamiento de un dictamen sobre los Estados Financieros a su revisión.
Normas relativas a la rendición de informes
a. Siempre que el nombre de un Contador Público sea asociado con estados
financieros, deberá expresar de manera clara e inequívoca la naturaleza de
su relación con tales estados. Si practicó un examen de ellos, el Contador
Público deberá expresar claramente el carácter de su examen, alcance y su
48
dictamen profesional sobre lo razonable de la información contenida en
dichos estados financieros.
b. El informe debe contener indicación sobre si los estados financieros están
presentados de acuerdo con principios de contabilidad generalmente
aceptados en Colombia.
c. El informe debe contener indicación sobre si tales principios han sido
aplicados de manera uniforme en el período corriente en relación con el
período anterior.
d. Cuando el Contador Público considere necesario expresar salvedades
sobre algunas de las afirmaciones genéricas de su informe y dictamen,
deberá expresarlas de manera clara e inequívoca, indicando a cual de tales
afirmaciones se refiere y los motivos e importancia de la salvedad en
relación con los estados financieros tomados en conjunto.
e. Cuando el Contador Público considere no estar en condiciones de expresar
un dictamen sobre los estados financieros tomados en conjunto, deberá
manifestarlo explícita y claramente.
Parágrafo. Cuando fuere necesario, el Consejo Técnico de la Contaduría Pública,
complementará y actualizará las normas de auditoría de aceptación general, de
acuerdo con las funciones señaladas para este organismo en la presente ley.
Todo Contador Público deberá entender, aplicar y comprometerse con la
aplicación del Código de Ética Profesional contenido en los artículos 35-40 de la
Ley 43 de 1990:
a. Integridad
b. Objetividad
49
c. Independencia
d. Responsabilidad
e. Confidencialidad
f. Observación de las disposiciones normativas
g. Competencia y actualización profesional
h. Difusión y colaboración
i. Respeto entre colegas
j. Conducta ética
Los anteriores principios y normas, constituirán el punto de partida para que los
Auditores Internos ejerzan sus funciones de manera adecuada según los
requisitos de la sociedad y puedan contribuir de manera responsable en el
perfeccionamiento de la profesión contable.
3.4 TIPOS DE AUDITORIA
3.4.1 Auditoría Administrativa. Para entender el desarrollo de la Auditoría
Administrativa, se debe primero abordar los conceptos básicos de la función
administrativa. Muchos investigadores de la materia, en diversas formas y en épocas
diferentes, han concluido que la administración se basa en 4 conceptos
fundamentales: Planeación, organización, dirección y control. Algunos de ellos, han
sido nombrados de manera diferente, se han separado algunos de sus componentes
internos; pero al final, el resultado final de las interpretaciones lleva a una definición
aceptada universalmente. Con esto, no se quiere decir, que no existan variables
adicionales que afecten el resultado del proceso administrativo; tampoco, que dichos
pasos estén definidos de manera rígida; por el contrario, los nuevos enfoques
relacionados con el giro normal de los negocios, economía y ambiente político, hacen
que la función administrativa sea flexible ante los cambios pero conservando sus
principios básicos.
50
Etapas del proceso administrativo
a) Planeación:
La planeación abarca la visión, misión, objetivos, políticas, metas, estrategias,
procedimientos, entre otros. En términos sencillos, la planeación se enfoca al
establecimiento de lo que quiere la organización, definido en plazos y la forma o
estrategias que se llevarán a cabo para conseguirlo. En esta etapa, se plantean
nuevas o mejores formas de negocio, se realizan los estudios de mercado o
factibilidad y se diseñan los presupuestos de cada una de las unidades
estratégicas de negocio.
b) Organización:
Esta etapa puede considerarse como una división de la planeación. La
organización establece los recursos necesarios para desarrollar los planes y los
organiza de manera eficiente para que el resultado sea consecuente con los
objetivos de la alta administración. Los recursos asignados incluyen los
económicos (capital, maquinaria, terrenos, materias primas, etc.) y el talento
humano. Con respecto a este, en la etapa de organización, se dividen claramente
las funciones y responsabilidades, se establecen algunas interrogantes para cada
cargo: ¿Cuáles son las funciones?, ¿Cuáles son los plazos para realizarlas? Y
¿Cómo serán ejecutadas? Esto implica un nivel óptimo de asignación de autoridad
y responsabilidad tal y como se estudió en el capítulo de control interno.
c) Dirección:
La dirección está incorporada en la ejecución de los planes previamente
establecidos. Es aquí, donde el administrador tiene que ser eficiente y eficaz en la
51
realización de las actividades y procesos a su cargo. En esta etapa, se deben dar
unas condiciones especialmente particulares para cumplir con dicho propósito: Las
instrucciones dadas al personal tienen que ser sencillas e inequívocas, deben ser
entendidas y aplicadas. La información y comunicación debe ser suficiente para el
correcto flujo de los procesos y documentos requeridos y más importante, se
requiere de “Líderes” que canalicen las aptitudes del personal a su cargo,
establezca un ambiente de trabajo altamente motivante y garantice que su gestión
va acorde con los requisitos de la alta administración.
d) Control:
Es imprescindible contar con mecanismos de retroalimentación y monitoreo de los
planes. Se requiere identificar aquellas desviaciones a los planes y rutina
establecidas y darles atención de manera efectiva.
El proceso administrativo no termina con la implementación de cada una de las
etapas mencionadas, se necesita retroalimentar cada una de ellas ante la
presencia de cambios estructurales que puedan afectar el cumplimiento de los
principales objetivos. El proceso administrativo se vuelve rutinario y
retroalimentativo y se hace inherente a cada una de las funciones realizadas a
cualquier nivel de la organización.
Objetivo e importancia de la Auditoría Administrativa:
El objetivo de la Auditoría Administrativa es verificar, evaluar y promover el
cumplimiento y apego al correcto funcionamiento de las fases o elementos del
proceso administrativo. Su objetivo también es evaluar la calidad de la
administración en su conjunto.
52
La importancia de la Auditoría Administrativa radica en el hecho de que
proporciona a los directivos de una organización un panorama sobre la forma
como está siendo administrada por los diferentes niveles jerárquicos y operativos,
señalando aciertos y desviaciones de aquellas áreas cuyos problemas
administrativos detectados exijan una mayor o pronta atención14.
3.4.2 Auditoría de gestión. El concepto de Auditoría de Gestión bien puede ser
desarrollado como parte integrante de la Auditoría Administrativa; sin embargo, se
separa para darle un mayor énfasis al objetivo real: Evaluación de la eficiencia y
eficacia en los procesos administrativos y operativos. Es así como la Auditoría de
Gestión, incorpora la evaluación cualitativa y cuantitativa de los resultados finales
obtenidos por cada una de las unidades estratégicas de negocio, resultados que,
deben estar soportados en una adecuada planeación estratégica.
Como se planteó anteriormente, la administración debe ser coherente y
organizada en sus planes, metas y estrategias. El Auditor de gestión, debe tener
conocimientos en el manejo de presupuestos, finanzas, mercadeo, manejo del
recurso humano, etc.; con esto, podrá obtener una visión global de negocio,
obtendrá una perspectiva como administrador que le permitirá ejercer sus
funciones de manera satisfactoria. Generalmente, la Auditoría de Gestión ha
estado enfocada a la verificación de planes, políticas, procedimientos, etc.; pero
ha estado limitada a la evaluación real de los resultados; que en la mayoría de los
casos, exceden de la capacidad del Auditor. Con esto, no se pretende convertir al
Auditor en “Coadministrador”, sino, dotarlo de herramientas útiles para que pueda
evaluar áreas comúnmente restringidas a su alcance.
Retomando los objetivos de la Auditoría de Gestión, estos consisten en la
evaluación de la eficacia (hacer lo que se tiene que hacer) y eficiencia (utilización
apropiada de los recursos asignados). El plan estratégico de las empresas incluye
14 SANTILLANA, Juan Ramón. Auditoría Interna Integral.
53
el establecimiento de objetivos, presupuestos y asignación de recursos. El Auditor,
una vez haya evaluado la forma de dicho plan estratégico, estará en la obligación
de evaluar los resultados finales y la óptima utilización de recursos.
3.4.3 Auditoría de cumplimiento. Una de las principales funciones de la
Auditoría, consiste en la verificación del cumplimiento de la legislación aplicable a
la compañía.
El proceso inicial de la Auditoría, consistirá en el conocimiento del negocio y el
entorno que lo rodea. Deberá entonces, obtener una detallada relación de las
actividades que realiza la empresa, para determinar cuáles leyes le son aplicables.
Ante la constante emisión de leyes en los diferentes ambientes: Tributario, laboral,
comercial, civil, ambiental, político, entre otros, la Auditoría debe estar alerta ante
los cambios que puedan generar impacto en la organización.
Pueden plantearse entre otros, los siguientes aspectos a considerar en la
ejecución de la Auditoría de cumplimiento:
• Conocimiento de todas las leyes que afectan el negocio.
• Evaluación de los planes y cronogramas de presentación y pago de
declaraciones e informes a entidades de control.
• Revisión de estatutos y libros obligatorios.
• Análisis de competencias del personal involucrado.
• Revisión de los planes de capacitación a los empleados.
• Comprobación del entendimiento de las leyes aplicables.
• Análisis del compromiso gerencial por el cumplimiento de las leyes.
• Revisar que en el código de ética, se promueva el cumplimiento de las
leyes.
• Comprobar la existencia de asesores externos.
54
• Revisar la existencia y actualización de textos que incorporen leyes
aplicables.
3.4.4 Auditoría Operacional. Cada organización tiene definidos ciclos de
actividad; esto es, áreas o procesos realizados dentro de una misma unidad
estratégica de negocios, o como staff dentro de la empresa. Cada ciclo de
operación participa directa o indirectamente en la consecución de los objetivos
establecidos en el plan estratégico de negocios.
Los ciclos de operación, constituyen entonces, el brazo de operación de la
empresa. Entre otros pueden identificarse los siguientes ciclos de operación (para
el caso de una empresa industrial): compras, producción, mercadeo, inventarios,
nómina, cuentas por pagar, tesorería, cuentas por cobrar.
Cada ciclo de operación, tiene identificadas funciones específicas, que de forma
conjunta, harán que la operación se realice de manera eficiente y eficaz.
Esta pequeña introducción tiene el objetivo de visualizar la operación como la
ejecución del objeto social.
La Auditoría Operacional pretende eliminar el paradigma sobre las funciones de la
profesión, las cuales, han sido estigmatizadas a la Auditoría Financiera. Se
pretende entonces, que el Auditor conozca la más mínima función operativa y la
comprenda, pueda evaluar la eficiencia y eficacia con la que se realice, analice de
manera crítica el sistema de control interno que la afecta y por último, plantee
oportunidades de mejoramiento ante el reconocimiento del “Deber ser”. En este
tipo de Auditoría, se debe recorrer desde el plan estratégico de la organización
hasta la simple función del pago a un proveedor, evaluando íntegramente la
cadena de valor. Para esto, se tiene que contar con una planeación de Auditoría lo
55
suficientemente bien diseñada que permita determinar el alcance de los
programas; puesto que, no se puede evaluar en su totalidad el sistema.
A manera de ejemplo, se presentan algunas funciones que en las empresas de
servicios deberán ser evaluadas por la Auditoría Operacional en el ciclo de
compras:
• Conocimiento del departamento de compras.
• Evaluación de cada función realizada.
• Estudio de manuales y procedimientos.
• Análisis de las competencias del personal.
• Estudio de los planes estratégicos involucrados.
• Revisión de presupuestos anuales.
• Análisis de recursos asignados.
• Análisis de funciones, autoridad y responsabilidades.
• Revisión de la segregación de funciones.
• Revisión de los procedimientos de requisición de materiales.
• Análisis del sistema de información.
• Verificación de bases de datos de proveedores.
• Revisión de registros de calificación de proveedores.
• Rotación de proveedores y número de cotizaciones requeridas.
• Evaluación de tiempos de entrega por parte de los proveedores.
• Análisis de niveles óptimos de inventarios.
• Seguimiento a órdenes de compra pendientes de concluir.
• Análisis de plazos otorgados por los proveedores y descuentos.
• Efectuar cotizaciones independientes a otros proveedores y compararlas
con los precios actuales.
• Revisión de políticas para el manejo de conflicto de intereses y relaciones
con proveedores.
56
Como puede apreciarse, las actividades realizadas por la Auditoría Operacional
son bastante extensas; con lo cual, se podrá de manera objetiva, emitir juicios
sobre lo adecuado de cada uno de los ciclos evaluados.
El ejercicio de la Auditoría Operacional infiere un cambio de actitud del Auditor
Interno que la práctica. Ya no se trata de revisar y examinar las cifras frías de
unos estados financieros, ni de evaluar el comportamiento y desempeño de la
administración. La actitud, ahora, es más de compenetrarse anímica y
mentalmente en la vida misma, supervivencia y desarrollo de la entidad a la que
presta sus servicios15.
3.4.5 Auditoría Financiera. En apartes anteriores, se planteó como la información
con calidad, es fuente de poder para las personas encargadas de tomar
decisiones.
Las compañías generan cuatro tipos de información: Contable, financiera,
administrativa y operativa. Cada una de ellas se relaciona o infieren en los
resultados de las otras.
El enfoque dado a la Auditoría Financiera, ha consistido en la revisión de los
estados financieros para garantizar su razonabilidad y confiabilidad. Este enfoque,
como puede verse, tiene un alto componente normativo; puesto que, dicha
razonabilidad está soportada en el cumplimiento de las normas de contabilidad
generalmente aceptadas y en la legislación tributaria. De esta forma, se limita el
alcance inicial de los estados financieros a fines estatales. No significa esto, que la
forma en como son preparados los estados financieros sea inadecuada; sino, que
las necesidades particulares de los dueños o alta administración se ve limitada.
Ante este obstáculo, cobra mayor importancia la preparación de información
administrativa y operativa que amplíen o expliquen los resultados financieros y que
15 Ibídem
57
se adecuen a los requisitos exigidos para un adecuado proceso de toma de
decisiones.
Para no desviar el tema, abordemos algunos aspectos que deben ser
considerados por la Auditoría Financiera:
• Razonabilidad y confiabilidad de la información: No puede pretenderse (y en
la práctica es imposible), emitir un juicio sobre una seguridad absoluta; esto
se debe a que los sistemas de información contable están afectados por el
criterio personal y las limitaciones del control interno. El Auditor Financiero
realiza muestreos basado en la confiabilidad del sistema de control interno,
no puede, por razones de tiempo y recursos, evaluar la totalidad del
sistema. Las pruebas que se realicen, deben abarcar una adecuada
muestra sobre el universo total, para que, de manera objetiva, se pueda
emitir el juicio sobre la razonabilidad de la información.
• Principios de contabilidad: Constituyen la base de preparación de la
información contable. Por esto, se requiere que el Auditor Financiero,
verifique que los estados financieros han sido preparados en concordancia
con dichos principios.
• Confiabilidad del sistema de información: Debe estar totalmente identificado
y evaluado lo siguiente:
•Ciclos operativos en la empresa.
•Documentos utilizados en cada ciclo
• Integridad de la información utilizada
•Forma de validación de las fuentes de información
•Sistemas de registro
•Oportunidad del registro
58
•Formas de verificación posterior al registro
•Tipos de informes finales o de resúmenes emitidos por el sistema
•Restricción de accesos a personal no autorizado
•Control de archivo de la documentación
• Revisión de la adecuada parametrización de los sistemas
computarizados
•Conciliación de información con otros aplicativos
• Existen otras actividades que la Auditoría Financiera debe incorporar en los
programas a realizar:
•Arqueos de caja
•Revisión de conciliaciones bancarias
•Circularización de bancos, cuentas por cobrar y cuentas por pagar
•Revisión de títulos de inversiones
•Análisis de provisión de cartera
•Análisis de partidas negativas o saldos inusuales
•Realización de inventarios físicos de mercancías y activos fijos
•Verificar inventarios obsoletos
•Verificar los cortes de documentos de todos los ciclos operativos
•Efectuar pruebas de depreciación y amortización
•Revisar las títulos de propiedad de los bienes inmuebles
•Revisar la valorización o desvalorización de activos fijos e
inversiones
• Corroborar la correcta liquidación de intereses sobre préstamos
según los pagarés
• Confrontar facturas físicas de proveedores contra los registros
auxiliares pendientes de pago
59
• Analizar la correcta interpretación y aplicación de la normatividad
tributaria vigente
•Solicitar estados de cuenta a la DIAN
• Verificar que las decisiones de accionistas estén reflejadas en los
registros contables
• Comprobar que los ingresos coincidan con los registros de los
aplicativos fuente
•Efectuar pruebas de facturación
•Confrontar los costos y gastos contra presupuestos
•Verificar la adecuado de la aprobación y registro de costos y gastos
• Analizar los métodos de valoración de inventarios y asignación de
costo de la mercancía vendida
•Verificar costos y gastos con períodos anteriores
Lo anterior, representa un pequeño grupo de actividades que debe incluir la
Auditoría Financiera para la consecución de su objetivo: Emitir un juicio sobre la
razonabilidad de los estados financieros.
3.4.6 Auditoría de Control Interno. En el capítulo sobre control interno, se hizo
una extensa exposición sobre los objetivos y componentes del sistema de control
interno; igualmente, se planteó la responsabilidad de cada uno de los agentes
vinculados con la organización. Ahora, se pretende focalizar las responsabilidades
de la Auditoría Interna en relación con el control interno.
Como en la mayoría de las funciones de la Auditoría, la responsabilidad en cuanto
al sistema de control interno, consistirá en la evaluación de cada uno de sus
componentes, para emitir un juicio sobre lo adecuado de los mismos.
El Auditor deberá evaluar el diseño del sistema y comprobar que se haya
implementado, entendido y esté siendo aplicado por todas las partes involucradas.
60
Se pueden establecer tres etapas en la Auditoría de Control Interno:
a) Planeación: Corresponde al conocimiento y entendimiento del negocio. El
entendimiento del Auditor con respecto a los componentes, se verá afectado por:
• Su juicio sobre la importancia relativa
• Tamaño de la entidad
• Organización de la entidad y características de su capital
• Naturaleza de los negocios
• Diversidad y complejidad de las operaciones realizadas
• Legislación aplicable
b) Prueba de los controles: Existe una diferencia entre verificar si los controles han
sido implementados y se están aplicando, y evaluar si dichos controles son
realmente efectivos. En este punto, el Auditor debe identificar la relevancia de los
controles y diseñar su programa de auditoría.
c) Comunicación de resultados: La comunicación de los resultados de las pruebas
de los controles se deben hacer oportunamente. En las comunicaciones se deben
incluir los objetivos y alcance del trabajo así como las conclusiones y
recomendaciones correspondientes. Los hallazgos a presentar, deben
corresponder a los asuntos de importancia o interés que requieran de acciones
inmediatas.
3.5 EL CICLO DE LA AUDITORÍA
61
El ciclo o las etapas de la Auditoría tienen una estrecha relación con las fases del
proceso administrativo: Planear, organizar, dirigir y controlar. Como el presente
trabajo pretende exponer la función de la Auditoría en la administración de riesgos,
la explicación de los ciclos de Auditoría, se hará de manera sencilla para un
conocimiento general. Existe una amplia literatura y normatividad que puede ser
consultada para ampliar el conocimiento sobre las etapas de la Auditoría.
3.5.1 Planeación global. En esta etapa de la Auditoría, se pretende obtener el
conocimiento general de la organización. El Auditor, se formará una primera
impresión del negocio, ambiente de control, se hará una primera aproximación a la
identificación de riesgos y comprenderá el plan estratégico de la organización.
Los siguientes son algunos aspectos que el Auditor deberá considerar en la etapa
de planeación global:
• Lectura de actas de Asamblea y Junta Directiva
• Expectativas de la alta administración
• Conocimiento y entendimiento del objeto social
• Conocimiento de las unidades estratégicas de negocio
• Identificación de áreas críticas o complejas
• Entendimiento de la misión, visión, objetivos, metas y presupuestos
• Lectura de las políticas
• Conocimiento de la composición accionaria
• Análisis de actividades secundarias importantes (Inversiones, contratos de
mandato, etc.)
• Principales cambios en la historia de la empresa: Fusiones, escisiones,
aumentos de capital, etc.
• Conocimiento de los principales productos
• Conocimiento de los principales clientes y proveedores
62
• Revisión de márgenes de utilidad por producto o líneas
• Análisis del entorno que rodea a la organización
• Conocimiento del mercado y competencia
• Participación de la empresa en el mercado
• Revisión de la legislación y entidades reguladoras
• Análisis de factores macroeconómicos afecten la organización
• Estructura organizacional, responsabilidad y autoridad de los gerentes de
área, número de empleados, remuneración general.
• Revisión de convenciones colectivas
• Visita a las instalaciones y plantas productivas o centros de distribución
• Análisis comparativo de estados financieros
• Comprensión de los sistemas de contabilidad y de control interno
• Lectura de informes de anteriores Auditorias
• Revisión del ambiente tecnológico
• Fuentes y métodos de financiación
• Composición de la Junta Directiva
• Asesores externos: Tributarios, comerciales, laborales, etc.
3.5.2 Planeación detallada. Una vez se ha identificado de forma general el
negocio, se continúa en la etapa de conocimiento con un mayor grado de énfasis.
Ya se tienen establecidas las unidades estratégicas de negocio, principales
componentes, políticas y objetivos organizaciones; es ahora, donde el Auditor,
profundiza en el conocimiento de todos los componentes; para lo cual, desarrolla
las siguientes actividades:
• Comprensión de la cadena de valor según el tipo de industria
• Identificación de procesos clave dentro de cada componente
• Lectura de manuales y procedimientos
• Entrevistas con el personal vinculado a los procesos
63
• Análisis de competencias del personal
• Análisis de niveles de responsabilidad y autoridad
• Conocimiento de las dependencias entre las áreas
• Identificación de tiempos de ejecución
• Identificación de recursos asignados
• Evaluación del sistema de control interno
• Elaboración de flujo gramas o memorandos narrativos
• Identificación de controles clave (Controles que al parecer son estratégicos
y están funcionando)
• Identificación de riesgos
• Revisión del sistema de información
• Revisión de informes de Auditorias anteriores
3.5.3 Diseño del programa de Auditoría. Una vez conocido el negocio, evaluado
las unidades estratégicas de negocio y establecido los principales riesgos que
afectan la organización, se pueden diseñar los programas a ejecutar.
El programa de Auditoría deberá ser diseñado con base en el conocimiento previo
del componente o proceso a evaluar; es importante, definir el alcance y las
pruebas deben estar enfocadas a la validación de los controles clave. Deben
programarse actividades que tengan relación con la evaluación de cada uno de los
tipos de Auditoría: Administrativa, de gestión, operacional, financiera, de
cumplimiento y de control interno. El alcance de las pruebas, estará dado por el
grado de confianza que el Auditor haya obtenido en las etapas de planeación; así
como por la complejidad e importancia relativa que el proceso o área tenga dentro
de la organización.
El tiempo de duración y la fecha de ejecución deberán ser controladas mediante
cronogramas de ejecución; los cuales, deben serán diseñados para el año
64
completo. Se debe tener especial cuidado en establecer tiempos de “Holgura” para
ejecutar actividades no programadas y poder cumplir satisfactoriamente con los
plazos establecidos.
No existe una propuesta o modelo estándar de programa de Auditoría. Los
actuales enfoques sugieren lo siguiente:
• Descripción del área o componente a auditar
• Descripción de objetivos generales y específicos
• Determinación del alcance de las pruebas
• Detalle del tamaño de las muestras
• Descripción de los recursos físicos y tiempo del personal de Auditoría.
• Detalle de las actividades a realizar. Para este punto en particular, se
sugiere redactar con afirmaciones; de esta forma, se ahorran papeles de
trabajo puesto que el programa cumple con dicho propósito (Ej.: Verifiqué lo
adecuado del sistema de contratación de empleados, Comprobé que se
hubiesen efectuado las deducciones establecidas por la legislación
vigente).
• Descripción de las excepciones o hallazgos encontrados
• Detalle de las oportunidades de mejoramiento para cada hallazgo
• Observaciones finales
• Conclusión
• Nombre de quien elabora y revisa
• Fecha del informe
3.5.4 Ejecución del programa. En esta etapa el Auditor debe ser lo
suficientemente organizado y suspicaz para realizar su trabajo de una forma
eficiente y efectiva.
65
El programa diseñado, puede no haber contemplado la evaluación de procesos o
actividades que son sensibles o críticas y merecen ser tenidas en cuenta. Sin
embargo, se debe ser consecuente con el alcance de las pruebas para no
desviarse del objetivo principal y poder cumplir con el cronograma establecido, lo
cual, no significa que no puedan incluirse procesos que puedan tener impacto
significativo en la organización.
A continuación se describen algunos puntos importantes en la ejecución de
cualquier programa de Auditoría:
a) Planeación de la ejecución:
• Revisión de los documentos de la planeación global y detallada.
• Reunión preliminar con la Gerencia del área a Auditar para explicar el
objetivo y alcance del programa
• Diseñar un cronograma particular; esto es, definir el tiempo que se le
dedicará a cada una de las actividades.
• Solicitar los documentos o información requerida con la suficiente
anticipación.
• Solicitar las entrevistas al personal involucrado con antelación (No aplica
para actividades sin previo aviso tales como arqueos).
b) Evidencia valida y suficiente: Comúnmente se piensa que entre más papeles de
trabajo se tengan, más se justifica el trabajo. Esto ya no es práctico. La validez y
suficiencia de la evidencia significa que la muestra seleccionada es representativa
del universo; además, que no hay lugar a dudas o interpretaciones en contrario, se
han efectuado las comprobaciones y no se necesita de otras pruebas para emitir
las conclusiones por parte del Auditor.
66
c) Importancia relativa y materialidad: El ejercicio de la Auditoría requiere
desarrollar la capacidad de determinar cuáles y en qué porcentaje, la muestra
seleccionada va a ser incluida en las actividades a realizar; por ejemplo, en una
empresa cuya nómina total sea de $300.000.000 al mes, evaluar las comisiones
por venta de $84.000 no es representativo y no dará a lugar a emitir conclusiones
importantes. No puede el Auditor, volverse “Detallista” hay que enfocar los
esfuerzos en evaluar los rubros que tengan importancia dentro de cada proceso.
d) Procedimientos para obtener evidencia:
• Inspección: Consiste en examinar registros, documentos o activos
tangibles.
• Con esto, se garantiza la existencia más no la propiedad de los mismos.
• Observación: Se da a través de la visualización de los procesos
desarrollados en el área sujeta a la Auditoría.
• Investigación: Consiste en buscar información adecuada recurriendo a
personas competentes dentro o fuera de la organización.
• Confirmación: A través de esta, se busca obtener una respuesta de un
tercero que puede ser confrontada y validada con los registros contables de
la compañía.
• Cálculo: Consiste en efectuar extensiones aritméticas para comprobar lo
adecuado de los documentos.
• Revisión analítica: Consiste en estudiar razones, tendencias, partidas
inusuales o significativas.
67
e) Revisión del trabajo de auxiliares: El nivel de experiencia requerido o la
complejidad de las operaciones, requieren la distribución de las actividades a
desarrollar entre el equipo de trabajo de Auditoría. Para el efecto, se debe hacer
seguimiento del desarrollo de las pruebas por parte de los auxiliares, identificando
las dificultades encontradas y la eficiencia y eficacia en la ejecución de dichas
pruebas; con esto, se garantiza que el trabajo va a ser ejecutado con un alto grado
de calidad.
3.5.5 Finalización. Es la última etapa del proceso de Auditoría y básicamente se
enfoca a la elaboración del informe final.
Lo primero que se debe determinar (incluso con anterioridad a la ejecución del
programa) es las personas a las cuales se les informará sobre los resultados de la
Auditoría según su importancia y nivel jerárquico. A juicio del Auditor, existirán
programas que por su importancia merezcan ser retroalimentados con la alta
administración; otros por el contrario, bastarán con ser informados a Directores o
Gerentes de área e inclusive a personal de rango medio.
El informe debe tener las siguientes cualidades:
• Buena redacción: Debe considerarse que los informes requieren
“Elegancia” para brindar una buena imagen del Auditor, se debe tener
excelente ortografía y utilizar un lenguaje que el usuario de la información
pueda entender:
• Suficiencia: El usuario comúnmente no tiene el suficiente tiempo para leer
informes demasiado extensos; en ocasiones, las situaciones delicadas
pueden
• no ser evaluadas con la suficiente importancia. Se requiere entonces,
focalizar el informe hacia las situaciones críticas que requieran de atención
inmediata.
68
• Oportunidad: Se requiere que los informes sean entregados en el tiempo
preciso una vez concluidas las pruebas. Se pueden presentar hallazgos que
requieran de acciones inmediatas por parte de la alta administración. En
ocasiones, informes que son presentados con demasiada posterioridad a la
ejecución del programa, se vuelven obsoletos.
Una vez consideradas estas cualidades, se puede construir el informe final de
Auditoría. Se sugiere el siguiente modelo:
• Encabezado: Comprende lugar, fecha de emisión y destinatario
• Objetivo: Se incluye el propósito y los antecedentes que dan lugar al
programa de Auditoría.
• Alcance de las pruebas
• Actividades realizadas: Se deben enunciar de manera general.
• Hallazgos: Solo deben ser incluidos los que tengan importancia relativa y
deben estar acompañados de la recomendación y beneficio. En este punto
el Auditor incorpora valor agregado a su trabajo; esto es, proporciona
oportunidades de mejoramiento en cada uno de los procesos evaluados.
• Conclusión: Finalmente el Auditor debe de manera resumida pronunciarse
sobre el programa realizado, basado en el objetivo del mismo, hallazgos
obtenidos y validación del sistema de control interno. Parte importante de la
conclusión será la valoración de los riesgos y el posible impacto que
puedan tener en la organización.
• Fecha de elaboración
3.5.6 Seguimiento a las recomendaciones. El trabajo del Auditor no concluye
con la emisión del informe. Se requiere programar actividades independientes de
evaluación para verificar que los controles u oportunidades de mejoramiento han
sido implementadas y son efectivas.
69
Los responsables de los procesos o del área sujeta a Auditoría, deben emitir
preferiblemente por escrito, un compromiso de mejora ante los hallazgos del
programa; así como, la posible fecha en que serán implementados los correctivos.
Con esto, se facilitará el trabajo de Auditoría y se podrá de manera implícita, medir
el impacto y la importancia que el informe ha tenido.
Existen situaciones particularmente críticas que requieren revisión pronta del
Auditor; otras por el contrario, podrán ser evaluadas en posteriores ejecuciones
sobre el área en cuestión. La responsabilidad de implementar los correctivos sigue
siendo de la administración de la compañía.
3.6 ENFOQUE INTEGRAL DE LA AUDITORÍA INTERNA
Al hablar de Auditoría interna integral, es organizar de manera metódica y
sistemática cada uno de los tipos de Auditoría dentro de un mismo programa de
Auditoría. Para un Auditor, suele ser mucho más fácil desarrollar su trabajo
cuando se tienen incorporados todos los objetivos y enfoques de evaluación
dentro de un mismo programa; esto es, incluir de manera explícita, auditorias
administrativas, de gestión, operacionales, de cumplimiento, financieras y de
control interno. Algunas de las actividades llevadas a cabo pueden favorecer el
cumplimiento de los objetivos individuales de cada tipo de Auditoría; con lo cual,
se gana en eficiencia y efectividad por parte del Auditor.
Lo anteriormente enunciado infiere que Auditoría Interna es una sola función con
diferentes enfoques de intervención y alcance.
70
No existe una frontera perfectamente definida que indique en una revisión de
Auditoría Interna dónde inicia y termina la Auditoría Administrativa, Operacional y
la Financiera.
Un Auditor que tenga perfectamente identificados los objetivos y enfoques de cada
tipo de Auditoría, será un profesional íntegro y su trabajo gozará de la aceptación
y credibilidad por parte de la alta administración de la compañía.
4. GERENCIA DE RIESGOS
71
La complejidad de las organizaciones y la evolución de los mercados, han
requerido de nuevos sistemas que coadyuven en la maniobra eficiente y eficaz de
las mismas. Han surgido diversos modelos de control que cumplen
satisfactoriamente con dicha necesidad. Se plantea y desarrolla el componente de
“Valoración de riesgos” sin embargo, la propuesta debe trascender y subir a los
más altos niveles de la organización garantizando el compromiso por su adopción.
4.1 OBJETIVOS DE LA GERENCIA DE RIESGOS
El objetivo básico de la gerencia de riesgos es minimizar los efectos adversos de
los accidentes que afecten a la empresa al menor costo posible.
Este objetivo básico debe compatibilizarse con los llamados objetivos operativos
de la gerencia de riesgos, que se resumen como sigue:
a. Mantener la actividad de la empresa dentro de la legalidad, vigilando
cuidadosamente el cumplimiento de la reglamentación vigente en lo
referente a medios de prevención y protección, tanto del patrimonio como
de los recursos humanos y de los posibles perjuicios a terceros, y
comunicando a la dirección correspondiente las anomalías que, en su caso,
se adviertan.
b. Aminorar la inseguridad de las operaciones de la empresa hasta límites
tolerables, reduciendo los riesgos más allá de las exigencias del mercado
de seguros, mediante el apoyo de las decisiones de las direcciones
ejecutivas tendentes a la expansión de dichas operaciones.
72
c. Mejorar, haciéndolas más seguras, las condiciones de trabajo del personal,
implantando medidas de protección, también más allá de las exigencias del
mercado de seguros, y favoreciendo la productividad.
d. Asegurar la supervivencia de la empresa, transfiriendo adecuadamente los
riesgos catastróficos, incluso aquellos cuya siniestralidad se presente con
una frecuencia insignificante. (La posibilidad del siniestro existirá en todo
caso.)
e. Facilitar la continuidad de las operaciones de la empresa tras un siniestro,
dentro de unas condiciones tolerables, recomendando y apoyando la
redacción de planes de emergencia y contingencia elaborados por las
distintas direcciones ejecutivas.
f. Facilitar la estabilidad de los planes operativos de la empresa tras un
siniestro en cuanto a su imagen, su cuota de mercado, e incluso su
desarrollo previsto, estableciendo cláusulas al efecto en las pólizas de
seguro y manteniendo estables dichas pólizas.
4.2 DEFINICIÓN DE LA GERENCIA DE RIESGOS
La gerencia de riesgos es el proceso de planificar, organizar, dirigir y controlar los
recursos y actividades de la empresa para minimizar los efectos adversos de los
sucesos accidentales que afectan la misma al menor costo posible.
Un programa de gerencia de riesgos debe ser validado por la gerencia general y
debe ser incorporado como parte integral de las funciones de cada una de las
gerencias de área. Es requisito indispensable que los más altos directivos de la
organización se comprometan con el montaje y seguimiento del sistema, se
73
requiere de participación y empoderamiento para que los resultados repercutan en
mayores beneficios para la organización.
La gerencia de riesgos es un proceso que incluye diversas actividades y puntos a
considerar; sin embargo, en el presente capitulo, los conceptos básicos serán
tratados de manera general; a diferencia de los planteamientos técnicos y
prácticos.
4.3 ANTECEDENTES Y CONOCIMIENTO DEL NEGOCIO
Lo gerencia de riesgos toma información de diversas fuentes y la organiza de
modo tal que pueda obtener una visión global del negocio. Tiene mucha relación o
similitud con la etapa de “Planeación global” de la auditoria. El programa de
gerencia de riesgos en su aparte de antecedentes y conocimiento debe incluir
cuando menos lo siguiente:
• Tipo de sociedad
• Objetivos y estrategias
• Estructura organizacional
• Unidades estratégicas de negocio
• Cadena de valor
• Principales procesos y subprocesos
• Contratos
• Responsabilidades sociales, civiles, comerciales, tributarias, laborales,
ambientales, entre otras.
• Análisis del entorno:
Evolución del mercado
74
Competencia
Clientes
Proveedores
Precios
Cambios tecnológicos
Cambios en el entorno (Económicos, políticos, legales y sociales)
Mercados financieros
• Análisis interno:
Red de distribución
Actuación comercial
Precios de venta
Productos (Calidad y gama)
Plantilla y clima laboral
Estructura financiera y patrimonial
Capacidad de generación de recursos
Rentabilidad
Productividad
Capacidad de innovación
4.4 EL RIESGO EN LA EMPRESA
4.4.1 Los conceptos de riesgo y siniestro. La Real Academia de la Lengua
Española define el riesgo como “Contingencia o proximidad de un daño” y en
segunda acepción “Cada una de las contingencias que pueden ser objeto de un
contrato de seguro”. Así las cosas, el riesgo tiene vínculos conceptuales con
“Peligro”. La segunda acepción de riesgos, en la práctica, no necesariamente
involucra la obligación o posibilidad de obtener contratos de seguro; puesto que,
75
existen otros mecanismos para enfrentar el riesgo. El “Riesgo – peligro” resulta ser
así la posibilidad de que un peligro se materialice sobre un “Riesgo – sujeto”.
Dicha materialización se llama accidente o siniestro.
4.4.2 Riesgo especulativo y riesgo puro. Toda actividad empresarial conlleva
riesgos; la decisión de iniciar una determinada actividad, lanzar un nuevo
producto, modificar una línea de producción o construir nuevas instalaciones
implican una toma de decisiones cuyas consecuencias no son seguras, esto es,
asume un riesgo: la posibilidad de errar.
Para minimizar esta posibilidad, las decisiones empresariales se basan en
estudios de viabilidad que son desarrollados a través del establecimiento de
ciertos parámetros y del análisis de la previsible evolución de los mismos de
acuerdo con la lógica y la estadística: estas decisiones son voluntarias y su fallo
constituye lo que se llama genéricamente “Riesgo especulativo o riesgo de
negocio”
Sin embargo, el acierto de estas decisiones está condicionado, además, por la
existencia de hechos imprevisibles en el tiempo o en el espacio que constituyen
los accidentes: el riesgo puro o accidentalidad se define como la incertidumbre de
la ocurrencia de un hecho negativo y de la gravedad de los daños que puede
producir.
La aplicación de las técnicas de identificación, evaluación y control de este tipo de
riesgos en la empresa, constituye lo que modernamente se conoce por Gerencia
de riesgos.
76
4.5 LA MEDIDA DEL RIESGO
a) La intensidad del riesgo (Impacto)
El concepto de riesgo, también se aplica a la magnitud potencial de siniestro.
Desde este punto de vista, se puede establecer la siguiente calificación:
• Leve: aquel cuya previsible materialización ocasione perdidas que puedan
ser asumidas por la empresa sin tener que tomar medidas financieras
extraordinarias.
• Medio: la materialización de este, requeriría de recursos que pueden llegar
a desestabilizar parcialmente una operación de la empresa.
• Grave: en este, se requerirían actuaciones financieras extraordinarias,
como aumentos de capital u operaciones de endeudamiento adicional.
• Catastrófico: su materialización sería capaz de producir la quiebra de la
empresa.
b) Frecuencia del riesgo (Probabilidad)
No puede suponerse que el siniestro derivado de un riesgo no pueda repetirse; al
número de veces que se prevé para la materialización del mismo en un periodo
determinado se le llama frecuencia del riesgo. Los términos periodo de recurrencia
se aplican al concepto inverso.
En la práctica, se utiliza el concepto de frecuencia del riesgo cuando esta es alta,
es decir, con un periodo de recurrencia corto. En cambio, se aplica el concepto de
77
periodo de recurrencia en caso contrario, especialmente cuando se habla de
riesgos catastróficos.
c) Matriz de riesgo
Considerando simultáneamente los dos atributos del riesgo, es decir, su intensidad
y su frecuencia, obtendremos lo que se ha dado en llamar matriz de riesgo, la
cual, se presenta a continuación:
4.6 ETAPAS DE LA GERENCIA DE RIESGOS
Desde el punto de vista de toma de decisiones, la secuencia lógica de la gerencia
de riesgos es:
4.6.1 Identificación y evaluación de riesgos. En esta primera etapa se
establecerá el inventario de riesgos de la empresa, mediante la identificación
exhaustiva de los riesgos a que las distintas actividades de la misma están
expuestas, incluyendo la relación de los daños que puedan sufrir sus recursos
78
materiales, inmateriales y humanos, las perdidas por daños a terceros o cualquier
otra perdida a la que la empresa este expuesta por la acción de dichos riesgos.
Los riesgos que figuran en el inventario deberán ser evaluados cualitativa y
cuantitativamente y su relación, ya valorada, deberá organizarse de forma que
permita el posterior tratamiento de los riesgos del modo más eficaz.
Teóricamente, el método correcto para realizar este inventario es confeccionar un
listado de todos los riesgos-peligro y otro de todos los riesgos-sujeto y suponer la
acción de cada riesgo-peligro sobre cada riesgo-sujeto para determinar si cada
objeto de riesgo puede ser dañado por la materialización del peligro que se esté
considerando. El resultado puede ser muy extenso y engorroso, salve que se
organice convenientemente.
Por ello, para facilitar su tratamiento, se agrupan los riesgos-peligro en fuentes de
riesgo y los riesgos-sujeto en grupos de sujetos.
Fuentes de riesgo son, por ejemplo, el riesgo de incendio y sus asociados:
explosión, caída de rayos, etc.; los llamados riesgos extraordinarios como
inundación, guerra, etc., la responsabilidad civil de la empresa, los accidentes de
tráfico de los vehículos, los daños a los productos transportados, en definitiva,
aquellos riesgos agrupados tradicionalmente por el mercado de seguros en sus
pólizas.
Los grupos de sujetos son conjuntos tan heterogéneos como los activos de la
empresa, su cuenta de resultados, la producción de una fábrica, el personal e,
incluso, su imagen. Y de tan distinta complejidad como una determinada máquina,
una línea de producción, la producción total de una fábrica, la de la empresa, el
total de las existencias, la mano de obra directa, la totalidad del personal, etcétera.
79
Los grupos de sujetos deberán ordenarse de forma que sus elementos tengan una
sensibilidad equilibrada frente a la acción de cada fuente de riesgo,
independientemente de que vayan a ser asumidos, protegidos o transferidos, pero
resulta evidente que, aunque parezca un contrasentido, el analista de riesgos
debe tener en cuenta, para la formación de los grupos de sujetos, el previsible
tratamiento futuro de los mismos.
Confrontando las fuentes de riesgo con los grupos de sujetos, obtendremos el
inventario de riesgos de la empresa, ya organizado para su tratamiento, que
establecerá:
• La relación de las fuentes de riesgo
• La relación de los grupos de sujetos
• La cuantificación de las pérdidas potenciales de cada grupo de sujetos por
la acción de cada fuente de riesgo.
4.6.2 Análisis de las técnicas de control de riesgos. Una vez identificado y
evaluado el riesgo, la siguiente etapa de la gerencia de riesgos es analizar las
distintas técnicas aplicables para su tratamiento y control. Para controlar el riesgo,
al gerente de riesgos se le ofrecen cuatro posibilidades:
• Eliminarlo o reducirlo
• Asumirlo financieramente
• Transferirlo operacionalmente
• Transferirlo financieramente
En la práctica, la decisión de tratamiento de los riesgos se basa en una
combinación equilibrada de las anteriores actuaciones.
80
La eliminación o reducción del riesgo: Toda actividad humana, incluso el mero
hecho de existir, implica riesgos, bien para el que actúa, bien para el que se
relaciona de alguna forma con él o bien para su entorno natural.
El riesgo propio solamente será eliminable renunciando a la acción que lo provoca,
lo que, normalmente, solo será razonable si la medida se incluye en el proyecto.
Así, por ejemplo, se puede eliminar el riesgo de inundación por desbordamiento
del río, situando la empresa lo suficientemente alejada de cualquier río, pero no
sería razonable hacerlo una vez construida la empresa, dado el costo de la
operación.
Desechada la eliminación total del riesgo, se debe analizar la posibilidad de
reducción para disminuir la siniestralidad potencial de unos riesgos determinados,
actuando bien sobre la intensidad del riesgo, bien sobre su frecuencia o sobre
ambos factores a la vez.
Para disminuir la frecuencia (Probabilidad) de un riesgo, el gerente de riesgo
deberá actuar sobre el grupo de riesgo (Potencial agente causante del mismo)
tomando medidas de muy diversa índole, adaptadas a sus características; por
ejemplo, un mejor control de calidad disminuirá la frecuencia del riesgo de
responsabilidad de productos.
Para disminuir la intensidad (Impacto) de un determinado riesgo, se actúa sobre el
sujeto; por ejemplo, la instalación de sistemas contra-incendios disminuirá la
extensión de la zona afectada por un siniestro de incendio y, por lo tanto, la
intensidad del riesgo.
Asumir financieramente el riesgo: Esta técnica supone aceptar de antemano las
consecuencias lesivas del posible siniestro. Generalmente, cuando el gerente de
riesgos decide o toma esta alternativa, se basa en la importancia relativa del valor
81
a asumir en relación con el costo de implementación de acciones tendientes a
mitigar el riesgo; igualmente, si dicha materialidad en términos económicos se
compara con el nivel de activos involucrados en la grupo de sujetos.
Otra variable que puede ser tomada por el gerente de riesgos, será su
discordancia con opiniones con terceros. Es así como por ejemplo, una empresa
podrá determinar que el riesgo de una sanción tributaria por interpretaciones
diferentes con la autoridad legal (DIAN) es asumible financieramente al no tener
puntos comunes de interpretación del asunto en cuestión.
Cabe recordar que la decisión de asumir financieramente un riesgo, es una tarea
que debe ser absolutamente objetiva y responsable; de lo contrario, podría la
empresa estar asumiendo riesgos que pueden ser contraproducentes para sus
resultados, y además, podrían ser objeto de control mediante otra técnica.
La transferencia operativa del riesgo: La transferencia operativa del riesgo
puede realizarse mediante el establecimiento de ciertas cláusulas en
determinados tipos de contratos, como cláusulas de exoneración o limitación de
responsabilidad, de ampliación de responsabilidad de terceros, de compensación
en caso de incumplimientos, etc.
Otra forma de transferir operativamente el riesgo, es transfiriendo la ejecución de
la actividad causante del mismo a un tercero. Con esto, puede presentarse que
dicha transferencia requiera de mayores recursos, también, podría inclusive ser
causa de nuevos riesgos. Por ejemplo, una compañía que identificó como
actividad altamente riesgosa para la salud de sus empleados, la manipulación de
sustancias tóxicas. Podría la empresa transferir dicha actividad a terceros
especializados; sin embargo, en caso de que dichos terceros no observen la
normatividad medio-ambiental, la empresa sería solidaria por el manejo de dichas
sustancias y se vería comprometida y posiblemente sancionada drásticamente.
82
La transferencia financiera del riesgo: Esta técnica se da a través de la
cobertura que hace la empresa mediante contratos de seguro. La empresa, asume
el pago de una prima establecida por la compañía de seguros y transfiere a esta la
responsabilidad del riesgo en las condiciones establecidas. Es así como, por
ejemplo, una empresa de transporte de carga, puede contratar con compañías
aseguradoras, pólizas de transporte que cubran el valor total de los bienes
transportados. Algunas pólizas, pactan deducibles, lo cual, significa, que la
compañía aseguradora no asume la totalidad del riesgo; en este caso, se estaría
presente en una combinación de técnicas: asunción del riesgo y transferencia del
mismo.
4.6.3 Selección de la aparente mejor opción. Construida la matriz de cada
centro de riesgo según lo indicado al estudiar la realización del inventario de
riesgos, la posición del mismo dentro de ella establecerá su previsible mejor
tratamiento como se muestra a continuación:
83
Esta calificación dependerá de diversos factores, lo que se pretende, es incentivar
la construcción y calificación objetiva de los riesgos identificados en la empresa;
no existe una matriz o estándar de calificación.
4.6.4 Aplicación de la opción seleccionada. La aplicación de la opción
seleccionada se efectuará en dos campos diferentes:
• Mediante la emisión de programas de control de riesgos pre-siniestro y
post-siniestro complementados con los procedimientos que seguirá la
gerencia de riesgos, en el seguimiento de las recomendaciones incluidas en
los mencionados programas.
• En el campo ejecutivo, mediante la gestión de las pertinentes pólizas de
seguro para la aplicación del programa de financiación de riesgos.
4.6.5 Análisis de los resultados y actuaciones consecuentes. Ante un cambio
radical en los proceso o cuando se presente un siniestro de cierta magnitud, el
gerente de riesgos debe analizar nuevamente los riesgos en busca de posibles
desviaciones sobres las previsiones que determinaron su actuación; de dicho
análisis, se desprenderá la conveniencia o no de modificar los programas antes
mencionados para optimizar su gestión.
4.7 IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS
Se hace un detalle para ampliar los conceptos e involucrar algunos ejemplos que
permitan ampliar el conocimiento de esta importante etapa.
4.7.1 Grupos de sujetos. El sujeto pasivo susceptible de ser afectado por la
acción de las fuentes de riesgo es la empresa en su conjunto, el grupo de
empresas de un grupo económico.
84
Grupos de sujetos serán también las distintas subdivisiones del grupo de
empresas y los diferentes centros de negocio de cada empresa. Por último, serán
también grupos de sujetos los distintos centros de trabajo de cada centro de
negocio, según los organigramas generales.
Los grupos de sujetos pueden clasificarse como sigue:
a) Personal propio
• Empleados en general
• Personal clave y directivo
b) Activos materiales
• Plantas productivas y oficinas administrativas
• Maquinaria, equipos y vehículos
• Bienes propios en poder de terceros
• Equipo marino y aeronaves
• Inventarios: Materias primas, productos en proceso y producto terminado
• Bienes de propiedad de los empleados
• Bienes de propiedad de terceros
• Dinero, títulos valores, etc.
• Terrenos
• Otros activos materiales
c) Activos inmateriales
• Información contenida en planos, diseños, procedimientos, archivo en
general, etc.
85
• Imagen
• Marcas registradas
• Cuota de mercado
• Secretos comerciales e industriales
d) Activos de terceros
• Consumidores
• Vecinos
• Medio ambiente
• Patrimonio en general de terceros
4.7.2 Fuentes de riesgos. Existen muchas clasificaciones de las fuentes de
riesgos y muy variados criterios para su agrupación, pero casi todos los autores
coinciden en considerar seis grandes grupos de riesgos:
a) Riesgos patrimoniales: capaces de causar daño físico al patrimonio de la
empresa.
• Riesgos de la naturaleza: Terremoto, maremoto, erupción volcánica,
huracán, nevadas, caída de rayos, electricidad estática, desbordamiento de
ríos, inundación, avalanchas, sequías, entre otros.
• Riesgos tecnológicos: incendio, explosión, derrame de productos químicos,
escape de gases, avería mecánica de maquinaria, sobretensión ,
interrupción imprevista del suministro de energía eléctrica, radiación, caída
de elementos estructurales, errores humanos de operación, entre otros.
• Riesgos político-sociales: guerra civil, rebelión, asonada, protestas.
86
• Riesgos antisociales: terrorismo, sabotaje, huelga ilegal, actos vandálicos,
asesinato, atentados, secuestro, robo, infidelidad de empleados, fraude,
espionaje industrial.
• Riesgos para terceros: siniestros que afecten los bienes arrendados, venta
de productos que puedan afectar a terceros.
b) Riesgos consecuenciales: capaces de causar, además, pérdidas pecuniarias o
lucro cesante como consecuencia directa de un siniestro.
• Riesgos consecuenciales propiamente dichos: demolición necesaria de
partes no dañadas, introducción de mejoras por obsolescencia tecnológica,
pérdida de uso, pérdida de imagen, pérdida de cuota de mercado, pérdida
de información confidencial o estratégica, divulgación de secretos
industriales, desempleo temporal de personal operativo, pérdida de
personal clave (por cambio d empleo), gastos financieros extraordinarios,
gastos de retirada de productos defectuosos, penalización económica
extraordinaria, entre otros.
Riesgos consecuenciales contingentes: retraso en el aprovisionamiento de
materiales básicos, cortes del suministro de energía, retrasos en la entrega de
maquilas, anulación temporal o definitiva de pedidos.
c) Riesgos de responsabilidad civil: capaces de producir pérdidas pecuniarias por
la responsabilidad de la empresa en las actuaciones ante terceros.
• Riesgos de responsabilidad civil empresarial: proximidad (posibilidad de
transmisión a un vecino próximo de un siniestro que afecte la empresa),
daños a edificios o locales arrendados, daños a bienes de un tercero en
87
depósito, perjuicios por incumplimiento de contratos, difamación, calumnia,
violación de patentes, competencia desleal, plagio de ideas.
• Riesgos de responsabilidad civil patronal: perjuicios a los empleados por
incumplimiento de normas de higiene y seguridad industrial, incumplimiento
de contratos, daños a los bienes propios de los empleados dentro de la
empresa, perjuicios a terceros por actuaciones extracontractuales de sus
empleados.
• Riesgos de responsabilidad civil de automóviles y marítima: por daños
materiales y corporales a ocupantes y terceros.
• Riesgos de responsabilidad civil de administradores y directivos: errores
técnicos de diseño, errores administrativos, error médico, error humano en
la práctica profesional en general, negligencia, abandono de funciones
profesionales, dolo del personal directivo.
• Riesgos de responsabilidad civil ambiental: contaminación gradual del
medio ambiente, contaminación súbita o accidental, delito ecológico,
contaminación radioactiva.
• Riesgos de responsabilidad civil de productos o servicios: fármacos o
drogas, productos alimenticios deteriorados, productos químicos o
radioactivos, gases, productos inflamables, productos perecederos,
materiales defectuosos
d) Riesgos financieros: pérdidas pecuniarias potenciales derivadas de otras
causas, con exclusión de las correspondientes a los riesgos de negocio o
especulativos.
88
• Riesgos de crédito: insolvencia o morosidad prolongada de los clientes,
demora en los pagos de exportaciones por decisiones políticas del país
destino.
• Riesgo de inversión en el exterior: perjuicios por situaciones políticas o
guerras civiles.
• Riesgo de cambio: variación desmedida de los tipos de cambio.
e) Riesgos personales: capaces de causar daño a los empleados o personas
vinculadas a la empresa.
• Se clasifican en este grupo solamente aquellos riesgos por los que las
personas, no puedan ser compensadas, de ocurrir el siniestro, a través de
la precedente reclamación a la empresa, por responsabilidad civil de la
misma: insolvencia de la empresa, muerte por accidente laboral o no
laboral, invalidez permanente, incapacidad profesional permanente,
secuestro, asesinato, atentado, desempleo.
f) Otros riesgos: riesgo país, político, económico, especulativos, etc.
4.7.3 Métodos de identificación de riesgos y sujetos. La identificación de los
riesgos de la empresa es el primer paso que hay que dar para la elaboración del
inventario de riesgos y sujetos de la misma y, por supuesto, un paso
absolutamente necesario, ya que, para gestionar un riesgo, ha de conocerse su
existencia, es decir, debe ser identificado.
La herramienta más eficaz para la identificación de los riesgos es la imaginación
del analista, aplicada a determinar la más pequeña posibilidad de ocurrencia de
89
los accidentes capaces de interferir el desarrollo normal de las actividades de la
empresa y alterar, en consecuencia, su resultado.
a) Entrevistas personales con cuestionario previo
Toda persona responsable de un centro de trabajo tiene un conocimiento, más o
menos intuitivo, de los riesgos a que dicho centro está expuesto o, al menos,
capaces de desestabilizar seriamente su gestión.
El primer paso consistirá en la elaboración de un cuestionario previo, tan
exhaustivo como la imaginación del gerente de riesgos le permita y deberá ser
enviado con anterioridad a la reunión con el encargado del centro de trabajo, para
que este, lo conteste y tenga la posibilidad de recabar información con el personal
a su cargo.
Una vez elaborado el cuestionario, se reunirán el gerente de riesgo y el
responsable del centro para analizar el cuestionario y ampliar los temas sensibles
que hayan sido detectados.
A continuación se presentan algunas preguntas que pueden ser incluidas en el
cuestionario previo.
90
CUESTIONARIO PREVIO DE IDENTIFICACIÓN DE RIESGOS
No. PREGUNTA SI NO1 Posee edificios o instalaciones fijas2 Está situado en zonas de condiciones ambientales adversas3 Está situado en zonas de conflicto militar, político o social4 Ha sido objeto de saboteo, huelga ilegal, vandalismo, etc.5 Ha sufrido importantes robos por su cuantía o frecuencia6 Efectúa inventario físico cuando menos una vez al año7 Está expuesto especialmente al espionaje industrial8 Utiliza maquinaria compleja y peligrosa para las personas9 Posee maquinaria obsoleta
10 Elabora productos perecederos11 Utiliza servicios de transporte de valores12 Tiene sistema de seguridad con registro de rondas13 Tiene sistema de protección contra incendios14 Tiene redactado un plan de emergencia en caso de siniestro15 Tiene en su proceso algún cuello de botella significativo16 Da garantía escrita de la calidad de alguno de sus productos
17Impone cláusulas de exoneración de responsabilidad en sus contratos o las acepta
18 Es su tesorería un problema serio
19Es satisfactorio el índice de accidentalidad laboral de su empresa
20 Puede su operación contaminar el medio ambiente21 Depende especialmente de algún empleado de rango directivo22 Posee políticas y manuales de funciones y procedimientos
23Frecuentemente viajan juntas, varias personas clave al mismo tiempo
24 Tiene preparado algún plan para evitar la pérdida de mercado25 Sería muy grave una pérdida de 100 millones en su operación
b) Análisis de informes y registros de la empresa
Cualquier documento de la empresa es potencialmente capaz de ayudar a la
identificación de los riesgos de la misma si son examinados con la imaginación
despierta y concentrada en dicha tarea. Algunos documentos a considerar son:
• El informe de gestión de la administración
• Estados financieros
• Actas de junta directiva y asamblea de socios o accionistas
• El organigrama de la empresa
• Los informes de planificación, control y presupuesto
91
• Los anteproyectos de nuevas instalaciones, maquinaria pesada y obras
civiles
• Folletos de publicidad y propaganda
• Flujo gramas de procesos
• Registros de siniestralidad y reclamación a las compañías aseguradoras
• Documentos de crédito
c) Análisis de documentos contractuales
Todos los contratos crean responsabilidades para la empresa derivada de su
posible incumplimiento:
• Los estatutos de la empresa
• Convenciones colectivas
• Contratos de trabajo del personal clave
• Contratos de aprendizaje
• Contratos de leasing
• Contratos con terceros para ejecución de obras
• Contratos de compraventa de insumos
• Contratos de transporte
d) Listados de chequeo
Estos listados deben prepararse en el centro de trabajo y antes de la inspección
de riesgos del mismo, ya que, en definitiva, su utilidad es la de servir de guía para
una inspección sistemática. El cuestionario previo a la entrevista con el
responsable de un centro de negocio descrito anteriormente es, realmente, un
listado de chequeo resumido y detector específico para el centro de negocio.
Ejemplo de listado de chequeo:
92
Agente causal del riesgo
Efecto Probabilidad Impacto
No
hay
efec
to
Dañ
os p
erso
nale
s
Dañ
os m
ater
iale
s
Lucr
o ce
sant
e
Gas
tos
extr
as
Res
pons
abili
dad
Civ
il
Baj
a
Med
ia
Alta
Baj
a
Med
ia
Alta
Cen
tro
riesg
o –
suje
to
afec
tado
Riesgos antisocialesTerrorismoSabotajeHuelga ilegalActo vandálicoPiromaníaAsesinatoAtentadoSecuestroHurtoDesaparición misteriosaMermasInfidelidad de empleadosFalsificación DesafíoFraudeIntrusiónEspionaje industrialRiesgos tecnológicosIncendioExplosión humoPolvoDerrame de químicosEscape de gases-vaporesContaminaciónSobretensión eléctricaMvto. de materialesRadiaciónVibración
93
e) La inspección de riesgos
La primera inspección de riesgos debe ser realizada personalmente por el gerente
de riesgos, o en su defecto, por un ayudante de primer nivel. Será lo más
exhaustiva posible desde el punto de vista cualitativo y, además, habrá de situar
cada riesgo en su matriz en concepto de cuantificación previa, dejando la
evaluación precisa del riesgo para una fase posterior. En caso de inspecciones de
centros de trabajo complejos o por razones técnicas, la inspección será,
normalmente realizada por consultores externos especializados y deberán estar
acompañados por el gerente de riesgos.
Al finalizar la inspección, se debe emitir un informe objetivo, conciso, preciso y sin
omisiones.
4.7.4 El inventario de riesgos. La aplicación de los métodos anteriores para la
identificación de los riesgos de la empresa dará lugar al inventario cualitativo de
riesgos, que habrá que distinguir del inventario de riesgos, igual al primero pero ya
evaluado con precisión.
El inventario de riesgos, así ordenado, será la base d las siguientes etapas de la
gerencia de riesgos. La primera de ellas es la de evaluación de los riesgos, cuya
medida se expresará con diferentes parámetros, siendo uno de ellos el PM Pos
(pérdida máxima posible).
A modo de ejemplo, se presenta la matriz de riesgos de una empresa industrial:
94
RIESGO
Dañ
os p
erso
nale
s
Dañ
os f
ísic
os
Lucr
o ce
sant
e
Gas
tos
extr
a
Res
pons
abili
dad
Civ
il
Probabilidad Impacto PMI Pos
Baj
a
Med
ia
Alta
Baj
a
Med
ia
Alta
Dañ
os f
ísic
os
Lucr
o ce
sant
e
Gas
tos
extr
a
Centro de trabajo industrialesIncendio, explosión, rayo, etc. Sobre edificación y obra civil Sobre maquinaria y equipo Sobre existencia Pérd. Información y equipo electrónicoAvería de maquinariaInundación Sobre edificación y obra civil Sobre maquinaria y equipo Sobre existenciaPérd. Información y equipo electrónico Hurto Uso de material radioactivo OtroAutomóviles y transporte terrestreDaños propios a vehículosDaños propios a mercancíasResponsabilidad civilEmpresarialPatronalDe productosProfesionalRiesgos financierosRiesgos personalesOtros riesgos
95
5. LA AUDITORÍA INTERNA Y LA ADMINISTRACIÓN DE RIESGOS EN UNA
EMPRESA DE SERVICIOS
La función de la Auditoria puede trascender más allá de la simple evaluación como
se dijo en el capítulo sobre Auditoria Interna integral; en el cual, se plantea el valor
agregado que debe aportar el ejercicio de la Auditoria en cualquier organización;
esto es, conservando la independencia mental que la caracteriza, puede la
Auditoria interna constituir parte integrante del sistema de administración de
riesgos de la empresa a la cual presta sus servicios.
Con esto, no se perderá la objetividad y la tan mencionada independencia;
siempre y cuando, sea entendido que la Auditoria Interna puede ayudar a construir
el sistema mediante la sugerencia de oportunidades de mejoramiento en cada uno
de los ciclos que lo componen. Se tendría voz más no voto; esto en función directa
con la responsabilidad del control interno, que como se mencionó en el capítulo
control interno, es la administración la encargada de construir el modelo,
implementarlo, darlo a conocer, evaluarlo y hacer seguimiento de su eficiencia y
eficacia.
La Auditoria Interna Integral, tiene una visión global del negocio; esta, le permite
identificar factores críticos de riesgo y establecer escalas de prioridad para
enfrentar dichos riesgos.
A lo largo del tiempo, ha existido un paradigma con relación a que debe y que no
debe hacer la Auditoria Interna. Los negocios cambian, las economías
evolucionan, se generan nuevas formas de hacer las cosas, salen a la luz nuevas
reglamentaciones, la competencia es cada vez más voraz, no se puede pretender
96
que ante estos cambios, se sigan llevando a cabo prácticas “obsoletas”. Las
organizaciones y la alta gerencia, necesitan profesionales integrales que permitan
desburocratizar la empresa. No es extraño que con mayor frecuencia, las
empresas modifiquen sus estructuras organizacionales con el efecto inmediato de
reducción de su planta de empleados. Los Auditores tienen una ventaja
competitiva que les permite seguir en las organizaciones siempre y cuando,
comprendan cual es la expectativa que sobre su trabajo tiene la alta
administración.
El ciclo de la Auditoria Interna (planeación global, planeación detallada, diseño de
los programas de auditoria, ejecución de los programas, finalización y seguimiento
de las recomendaciones), debe tener incorporado de manera especial, la
evaluación de riesgos de la entidad.
En la etapa de planeación global, el Auditor debe identificar los riesgos de negocio
o riesgos generales que puedan afectar la organización. Con esto, podrá participar
en el comité de riesgos planteando su percepción sobre el mismo. En igual forma,
en la etapa de planeación detallada, el Auditor será más analítico de los riesgos
que se incorporan a cada unidad estratégica de negocios; llevando la evaluación a
la etapa mínima de un proceso así:
Macro proceso Proceso Actividad Tarea
Es en las actividades y tareas es donde se evidencian y materializan los riesgos;
por esto, el conocimiento total del proceso, las actividades desarrolladas y las
tares ejecutadas le permiten al Auditor abordar de manera eficaz el sistema de
administración de riesgos.
Como se dijo, la Auditoria Interna tendrá voz pero no voto en la construcción del
sistema; sin embargo, ya tiene un camino recorrido al momento de construir los
97
programas de Auditoria. Se conocen las áreas críticas, se han evaluado los
riesgos más significativos y se han implementado las acciones para controlar
dichos riesgos. Con todo esto, el programa a realizar será totalmente eficiente, y
se enfocará en la evaluación de los procesos o áreas que mayor impacto tienen en
la organización; podrá establecer entonces el enfoque y alcance de las pruebas a
realizar y los resultados, con toda seguridad serán ampliamente satisfactorios al
momento de ser presentados a la alta administración.
La construcción de un sistema de administración de riesgos no es fácil. Se
requiere dedicación y esfuerzo por parte de los integrantes del comité. Se necesita
compromiso de la alta administración y la asignación de recursos para hacer más
eficiente el trabajo del personal involucrado.
De manera general, se presenta la propuesta de matrices de riesgo para el
impuesto a las ventas. La información contenida en las matrices no corresponde o
se relaciona con alguna empresa en particular.
La construcción de las matrices de riesgo se hace según el grado crítico que tenga
cada proceso; es así como, para una empresa de transporte, las actividades
relacionadas con el impuesto a las ventas pueden no ser críticas tal y como lo
pueden ser para una empresa industrial, agropecuaria o exportadora.
98
CONCLUSIONES
La administración de riesgos como parte integrante del control interno, siempre
será una responsabilidad intransferible de la alta administración. Es esta, como
orientadora directa de la organización, quien debe diseñar los mecanismos para
garantizar que la empresa a la cual presta sus servicios, pueda alcanzar los
máximos objetivos emanados por los dueños y junta directiva; así como los
generados por agentes externos como el estado.
Pese a lo anterior, existe un área que posee el conocimiento, experiencia,
sagacidad y preparación profesional que le permite ser un aliado estratégico para
la construcción del sistema de administración de riesgos; esta es, la Auditoria
Interna.
Uno de los principios básicos dados a conocer académica y normativamente en
los últimos años, es la independencia mental del Auditor, esto es, no ser “Juez y
parte”. Sin embargo, como se dijo, las organizaciones requieren de profesionales
integrales que puedan moverse en diferentes esferas. La Auditoria Interna puede
tener “Voz pero no voto” en la construcción del modelo; puede opinar, sugerir,
criticar y finalmente dar su visto bueno al modelo construido. Con esto, se
garantiza un modelo que sea lo suficientemente bien estructurado y permita
minimizar la posibilidad de materialización de los riesgos o minimización de su
impacto.
99
La Auditoria Interna podrá construir sus programas de manera más eficiente
puesto que conoce al detalle los riesgos críticos que afectan la organización;
podrá centrar sus esfuerzos en la evaluación de los mismos y emitirá
oportunidades de mejoramiento que finalmente, serán su valor agregado. Se
acaba entonces el paradigma de la función “policiva” de la Auditoria Interna.
100
BIBLIOGRAFÍA
BLANCO LUNA, Yanel, Manual de Auditoría y de Revisoría Fiscal, Ecoe
Ediciones, 2006, novena edición.
COMMITTE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION, Control Interno Estructura Conceptual Integrada, Ecoe Ediciones,
1998, segunda edición.
CONSEJO TÉCNICO DE LA CONTADURÍA PÚBLICA, Pronunciamientos 1 al 9,
Ecoe Ediciones, 1998, cuarta edición.
GERENCIA DE RIESGOS Y SEGUROS EN LA EMPRESA, Editorial MAPFRE,
S.A. Madrid, 1998.
SANTILLANA GONZÁLEZ, Juan Ramón, Auditoría Interna Integral, International
Thomson Editores, S.A. de C.V México, 2002, segunda edición.
101